Periscope BuySpeed संस्करण 14.5 संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Cross-Site Scripting) के लिए असुरक्षित है

यह XSS भेद्यता हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। हमलावर इस भेद्यता का उपयोग उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने, उनके सत्रों को अपहरण करने या संवेदनशील जानकारी, जैसे कि लॉगिन क्रेडेंशियल या व्यक्तिगत डेटा को चुराने के लिए कर सकता है। चूंकि भेद्यता के लिए प्रमाणीकरण की आवश्यकता होती है, इसलिए हमलावर को पहले एप्लिकेशन में एक वैध उपयोगकर्ता के रूप में लॉग इन करना होगा। यह भेद्यता विशेष रूप से उन संगठनों के लिए जोखिम पैदा करती है जो BuySpeed का उपयोग करते हैं और जिनके उपयोगकर्ता संवेदनशील जानकारी तक पहुंच रखते हैं।

Organizations utilizing Periscope BuySpeed version 14.5, particularly those with local authenticated users accessing the application, are at risk. Shared hosting environments where multiple users share the same BuySpeed instance are also potentially vulnerable.

1. 2020-04-10Disclosure

   disclosure

1. आरक्षित2020-02-18
2. प्रकाशित2020-04-10
3. संशोधित2024-09-17
4. EPSS अद्यतन2026-04-02

BuySpeed संस्करण 15.3 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि XSS हमलों को फ़िल्टर किया जा सके। इसके अतिरिक्त, एप्लिकेशन में सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज़ करना महत्वपूर्ण है ताकि दुर्भावनापूर्ण कोड को निष्पादित होने से रोका जा सके। BuySpeed के नवीनतम संस्करण में अपग्रेड करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन के विभिन्न कार्यों का परीक्षण करें।