Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu dla bibliotek SOWA OPAC firmy SOKRATES-software i koordynował proces ujawniania informacji.
Podatność CVE-2024-6050 typu Reflected Cross-Site Scripting (XSS) umożliwia wykonanie skryptu w przeglądarce użytkownika, który zostanie nakłoniony przez atakującego do użycia spreparowanego linku. Podatność dotyczy systemu w seriach 4.x, 5.x i 6.x. Podatność została usunięta w wersjach 4.9.10 i 6.2.12 (wersje z serii 5.x zostały zastąpione przez wersje z serii 6.x).
Podziękowania
Za zgłoszenie podatności dziękujemy Kacprowi Rybczyńskiemu. Dziękujemy także producentowi systemu za natychmiastową reakcję i usunięcie zgłoszonego błędu.