YAFNET até 3.1.10 Private Message PostPrivateMessage subject/message Roteiro Cruzado de Sítios
Uma vulnerabilidade classificada como problemático foi encontrada em YAFNET até 3.1.10. Afectado é uma função desconhecida do ficheiro /forum/PostPrivateMessage do componente Private Message Handler. A manipulação do argumento subject/message com uma entrada desconhecida leva a Roteiro Cruzado de Sítios. A definição de CWE para a vulnerabilidade é CWE-79. O aconselhamento é partilhado para download em drive.google.com. A vulnerabilidade é identificada como CVE-2023-0549. O ataque pode ser levado a cabo através da rede. Os detalhes técnicos estão disponíveis. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. O projecto MITRE ATT&CK utiliza a técnica de ataque T1059.007 para esta edição. É declarado como proof-of-concept. A exploração está disponível em drive.google.com. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k. A actualização para a versão 3.1.11 é capaz de abordar esta questão. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é 2237a9d552e258a43570bb478a92a5505e7c8797. O bugfix está pronto para download em github.com. Recomenda-se a actualização do componente afectado.