BDU:2022-04035: Уязвимость компонента /admin/conferences/list/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки

Описание уязвимости Уязвимость компонента /admin/general/change-lang программного обеспечения TrueConf Server связана с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовые сценарные атаки
Вендор ООО «Труконф»
Наименование ПО TrueConf Server (запись в едином реестре российских программ №78)
Версия ПО
  • 4.3.7
Тип ПО Операционная система
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Непринятие мер по нейтрализации script-related тэгов HTML на веб-странице (основной XSS)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 29.06.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- ограничение доступа к определенным URI.

Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
Статус уязвимости Потенциальная уязвимость
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Инъекция
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения