TrueConf Server 4.3.7 /admin/conferences/list/ sort Reflected cross site scripting
W TrueConf Server 4.3.7 została stwierdzona podatność. Problemem dotknięta jest nieznana funkcja w pliku /admin/conferences/list/. Poprzez manipulację argumentem sort przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności cross site scripting. Raport na temat podatności został udostępniony pod adresem exploit-db.com. Identyfikatorem tej podatności jest CVE-2017-20115. Atak może zostać przeprowadzony zdalnie. Techniczne szczegóły są znane. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem exploit-db.com. Aktualizacja do wersji 5.0.2 eliminuje tę podatność. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.