平台
other
组件
lynx-customer-service-portal
修复版本
3.5.3
CVE-2020-9055 描述了Versiant LYNX Customer Service Portal (CSP) 中存在的存储型跨站脚本攻击 (XSS) 漏洞。该漏洞允许本地、经过身份验证的攻击者插入恶意 JavaScript 代码,这些代码被存储并在最终用户处显示。受影响的版本包括 3.5.2。通过升级至 3.5.3 版本可以解决此问题。
攻击者可以利用此 XSS 漏洞执行各种恶意操作。攻击者可以注入恶意脚本,导致用户被重定向到恶意网站,窃取用户的会话 Cookie,从而接管用户帐户,或者泄露敏感信息。由于该漏洞需要本地身份验证,因此攻击者必须首先获得对 CSP 系统的访问权限。然而,一旦获得访问权限,攻击者就可以影响所有使用受感染 CSP 界面的用户。
该漏洞已公开披露,并已发布在 NVD 数据库中。目前尚未观察到大规模利用该漏洞的活动,但由于 XSS 漏洞的普遍性,建议尽快采取缓解措施。该漏洞的概率评估为低,但潜在影响仍然值得关注。
Organizations utilizing the Versiant LYNX Customer Service Portal version 3.5.2, particularly those with local authenticated users accessing sensitive data through the portal, are at risk. Environments with weak input validation or lacking WAF protection are especially vulnerable.
disclosure
漏洞利用状态
EPSS
0.31% (54% 百分位)
CVSS 向量
最有效的缓解措施是立即将 LYNX Customer Service Portal (CSP) 升级至 3.5.3 版本或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 Web 应用防火墙 (WAF) 以阻止已知的 XSS 攻击模式。此外,可以审查 CSP 的代码库,查找并修复其他潜在的 XSS 漏洞。在升级后,请验证修复是否成功,例如通过尝试在 CSP 中输入包含 JavaScript 代码的输入,并确认代码未执行。
升级到 3.5.2 之后的版本,以修复 XSS 漏洞。联系供应商 (Versiant) 获取修复版本或安全补丁。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-9055 是 Versiant LYNX Customer Service Portal (CSP) 3.5.2 版本中发现的存储型跨站脚本攻击 (XSS) 漏洞,允许攻击者注入恶意 JavaScript 代码。
如果您正在使用 LYNX Customer Service Portal (CSP) 3.5.2 版本,则您可能受到此漏洞的影响。请立即升级至 3.5.3 版本或更高版本。
最有效的修复方法是升级至 LYNX Customer Service Portal (CSP) 3.5.3 版本或更高版本。
目前尚未观察到大规模利用 CVE-2020-9055 的活动,但由于 XSS 漏洞的普遍性,建议尽快采取缓解措施。
请访问 Versiant 的官方网站或 NVD 数据库以获取有关 CVE-2020-9055 的更多信息和官方告警。