TrueConf Server 4.3.7 /admin/conferences/list/ sort Reflected cross site scripting
In TrueConf Server 4.3.7 è stato trovato un punto critico di livello problematico. É interessato una funzione sconosciuta del file /admin/conferences/list/. Attraverso l'influenza del parametro sort di un input sconosciuto per mezzo di una vulerabilità di classe cross site scripting. L'advisory è scaricabile da exploit-db.com. CVE-2017-20115 è identificato come punto debole. L'attacco può essere lanciato dalla rete. I dettagli tecnici sono conosciuti. È stato dichiarato come proof-of-concept. L'exploit è scaricabile da exploit-db.com. L'aggiornamento alla versione 5.0.2 elimina questa vulnerabilità. Il miglior modo suggerito per attenuare il problema è aggiornamento all'ultima versione. Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.