Consultoria de segurança

Vulnerabilidade de XSS armazenada no menu Ações personalizadas na página de detalhes da solicitação

ID CVE : CVE-2024-27314

Nome do produtoGravidadeVersão(ões) afetada(s)Versão fixaFixa em
ServiceDesk PlusBaixa14720 e inferiores147302 de maio de 2024
ServiceDesk Plus MSPBaixa14710 e inferiores1472022 de maio de 2024
SupportCenter PlusBaixa14710 e inferiores1472022 de maio de 2024

Detalhes

Uma vulnerabilidade de XSS (cross-site scripting) armazenada permitiu que usuários com a função SDAdmin injetassem um JavaScript malicioso no menu Ações personalizadas na página de detalhes da solicitação. O script é executado quando um usuário abre uma solicitação, acessa o menu personalizado e clica no botão com o tipo de ação Executar script.

Corrigimos o problema codificando os dados durante a renderização do cliente para impedir que o JavaScript fosse executado.

Impacto

A vulnerabilidade pode ser explorada por agentes de ameaças que tenham a função SDAdmin para realizar outros ataques.

Etapas para atualização

  1. Baixe o pacote de atualização mais recente nos links a seguir para os respectivos produtos:
  2. Aplique a compilação (build) mais recente à instalação existente do produto, de acordo com as instruções do pacote de upgrade fornecidas nos links acima.

Notificações

Essa vulnerabilidade foi reportada por Fabrizio no nosso portal de "bug bounty".

Caso tiver alguma dúvida ou preocupação, entre em contato com o suporte ao produto nos endereços de e-mail abaixo.

ServiceDesk Plus: support@servicedeskplus.com

ServiceDesk Plus MSP: support@servicedeskplusmsp.com

SupportCenter Plus: support@supportcenterplus.com

Confiável pelas melhores organizações do mundo

Suporte mais rápido e fácil, juntos
Inscrever-se (Nuvem) Baixar(On-premises)Request a free demo
De acordo com ITSMSoftware de Help DeskIntegraçãoMSP