Plataforma
other
Componente
lynx-customer-service-portal
Corrigido em
3.5.3
A vulnerabilidade CVE-2020-9055 é uma falha de Cross-Site Scripting (XSS) armazenado identificada no LYNX Customer Service Portal (CSP). Essa falha permite que um atacante autenticado insira código JavaScript malicioso que é armazenado e exibido aos usuários finais. A vulnerabilidade afeta a versão 3.5.2 do CSP e foi corrigida na versão 3.5.3. A atualização para a versão mais recente é a solução recomendada.
Um atacante explorando com sucesso a vulnerabilidade CVE-2020-9055 pode injetar scripts maliciosos no LYNX Customer Service Portal. Esses scripts podem ser usados para redirecionar usuários para sites maliciosos, roubar cookies de sessão, permitindo que o atacante se passe pelo usuário, ou para exibir conteúdo malicioso na página. O impacto potencial inclui a perda de confidencialidade, integridade e disponibilidade dos dados do usuário. A exploração bem-sucedida pode levar à comprometimento completo da conta do usuário e, potencialmente, acesso a informações sensíveis armazenadas no sistema.
A vulnerabilidade CVE-2020-9055 foi divulgada em 30 de março de 2020. Não há relatos públicos de exploração ativa desta vulnerabilidade no momento. A probabilidade de exploração é considerada baixa devido à falta de um proof-of-concept (PoC) publicamente disponível e à relativa complexidade da exploração. A vulnerabilidade não está listada no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA.
Organizations utilizing the Versiant LYNX Customer Service Portal version 3.5.2, particularly those with local authenticated users accessing sensitive data through the portal, are at risk. Environments with weak input validation or lacking WAF protection are especially vulnerable.
disclosure
Status do Exploit
EPSS
0.31% (percentil 54%)
Vetor CVSS
A mitigação primária para CVE-2020-9055 é atualizar o LYNX Customer Service Portal para a versão 3.5.3 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, implemente validação rigorosa de entrada e saída para todos os dados fornecidos pelo usuário. Considere o uso de uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de injeção de script.
Atualizar para uma versão posterior a 3.5.2 que corrija a vulnerabilidade XSS. Contactar o fornecedor (Versiant) para obter a versão corrigida ou um patch de segurança.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-9055 is a stored XSS vulnerability in Versiant LYNX Customer Service Portal versions 3.5.2, allowing authenticated attackers to inject malicious JavaScript.
If you are running Versiant LYNX Customer Service Portal version 3.5.2, you are potentially affected by this vulnerability.
Upgrade to version 3.5.3 or later to resolve the vulnerability. Implement input validation and output encoding as a temporary measure.
There is currently no evidence of active exploitation campaigns targeting CVE-2020-9055.
Refer to the Versiant security advisory for detailed information and updates regarding CVE-2020-9055.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.