CVE-2022-29034
CVE-2022-29034
Em resumo
O servidor SINEMA Remote Connect possui uma falha na interface web onde as mensagens de erro não bloqueiam código JavaScript, permitindo que atacantes injetem scripts maliciosos que são executados no navegador dos usuários ao clicarem em um link especialmente preparado.
Detalhe técnico
Uma vulnerabilidade de XSS refletida existe na janela de mensagem de erro da interface web, onde a entrada do usuário não é adequadamente sanitizada ou codificada. Um atacante não autenticado pode construir uma URL maliciosa contendo JavaScript que será executado no contexto do navegador da vítima, potencialmente levando ao roubo de sessão ou credenciais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.1). An error message pop up window in the web interface of the affected application does not prevent injection of JavaScript code.
This could allow attackers to perform reflected cross-site scripting (XSS) attacks.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:P/RL:O/RC:C
Produtos afetados
Siemens · SINEMA Remote Connect ServerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/167554/SIEMENS-SINEMA-Remote-Connect-3.0.1.0-01.01.00.02-Cross-Site-Scripting.htmlhttps://cert-portal.siemens.com/productcert/html/ssa-484086.htmlhttps://cert-portal.siemens.com/productcert/pdf/ssa-484086.pdfhttp://seclists.org/fulldisclosure/2022/Jun/35