Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu 2ClickPortal firmy Trol InterMedia Sp. z o.o. Sp. k. i koordynował proces ujawniania informacji.
Podatność CVE-2024-5961 typu Reflected Cross-Site Scripting (XSS) umożliwia wykonanie skryptu w przeglądarce użytkownika, który zostanie nakłoniony przez atakującego do użycia spreparowanego linku. Podatność dotyczy wersji od 7.2.31 do 7.6.4. Wersja 7.6.5 zawiera poprawkę bezpieczeństwa. Aktualizacja powinna zostać wdrożona automatycznie do wszystkich systemów klienckich.
Podziękowania
Za zgłoszenie podatności dziękujemy Kacprowi Rybczyńskiemu. Dziękujemy także producentowi systemu za natychmiastową reakcję i usunięcie zgłoszonego błędu.
