Een cross-site scripting (XSS) kwetsbaarheid is ontdekt in het META-INF Kft. Email This Issue (Data Center) waarbij aanvallers willekeurige webscripts of HTML kunnen uitvoeren. Dit kan door een speciaal voorbereide payload in het ontvangersveld van een e-mailbericht te injecteren.
Met een CVSS-score van 5.4 wordt deze kwetsbaarheid als medium geclassificeerd en is er sprake van lage aanvalsecomplexiteit. Een aanvaller moet wel inloggen en interactie met de gebruiker is vereist, maar de impact op de vertrouwelijkheid en integriteit is laag.
Overzicht
De kwetsbaarheid ligt in het toestaan van input-neutralisatie tijdens webpagina-generatie, waardoor cross-site scripting mogelijk is. De volgende versies zijn getroffen:
- Email This Issue (Data Center) ouder dan 9.13.0-GA
Bronnen
Vraag en Antwoord
Wat is CVE-2024-42912?
CVE-2024-42912 betreft een cross-site scripting kwetsbaarheid waardoor aanvallers via een e-mailprogramma schadelijke scripts kunnen injecteren.
Welke systemen zijn kwetsbaar voor CVE-2024-42912?
Email This Issue (Data Center) versies ouder dan 9.13.0-GA zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is aanbevolen om te updaten naar versie 9.13.0-GA of hoger om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts uitvoeren binnen de context van het slachtoffer met mogelijk toegang tot gevoelige gegevens als gevolg.
