关键漏洞信息 Advisory ID: usd-2022-0060 Product: Cash Point & Transport Optimizer CPTO Affected Version: 6.3.8.6 (#718) 06.07.2021 Vulnerability Type: CWE 79 - Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) Security Risk: Medium Vendor URL: https://www.sesami.io/ Vendor Acknowledged Vulnerability: Yes Vendor Status: Fixed CVE Number: CVE-2023-31298 CVE Link: Pending 描述 管理员用户可以通过创建新系统用户或修改现有管理员用户,将JavaScript注入到User ID字段,从而利用新系统用户或其它管理员用户。在新用户首次登录时需要更改密码时触发漏洞。此外,当新用户登录后,或当不同管理员用户查看应用日志时,也会触发漏洞。 修复方案 用户应该将CPTO升级到当前版本。用户提供的输入应该始终进行清理。 时间线 2022-11-03: 由Marcus Nilsson发现漏洞 2022-11-28: 负责任披露尝试与供应商建立联系 2023-04-27: 请求并保留CVE ID 2023-05-12: 通过电话和电子邮件尝试联系供应商未成功,供应商客户通知团队漏洞应在秋季前修复 2023-11-23: Marcus Nilsson与供应商取得联系,建议在12月发布无漏洞利用概念证明的公告 2023-12-21: usd AG发布公告 致谢 此安全漏洞由usd AG的Marcus Nilsson发现。