CVE-2024-51989

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-51989
Password Pusher is an open source application to communicate sensitive information over the web. A cross-site scripting (XSS) vulnerability was identified in the PasswordPusher application, affecting versions `v1.41.1` through and including `v.1.48.0`. The issue arises from an un-sanitized parameter which could allow attackers to inject malicious JavaScript into the application. Users who self-host and have the login system enabled are affected. Exploitation of this vulnerability could expose user data, access to user sessions or take unintended actions on behalf of users. To exploit this vulnerability, an attacker would need to convince a user to click a malicious account confirmation link. It is highly recommended to update to version `v1.48.1` or later to mitigate this risk. There are no known workarounds for this vulnerability. ### Solution Update to version `v1.48.1` or later where input sanitization has been applied to the account confirmation process. If updating is not immediately possible,

7.1 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 4.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/pglombardo/PasswordPusher/security/advisories/GHSA-5chg-cq29-gfqf
Configurations

No configuration.

History

08 Nov 2024, 19:01

Type Values Removed Values Added
Summary
  • (es) Password Pusher es una aplicación de código abierto para comunicar información confidencial a través de la web. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación PasswordPusher, que afecta a las versiones `v1.41.1` hasta `v.1.48.0` incluida. El problema surge de un parámetro no desinfectado que podría permitir a los atacantes inyectar JavaScript malicioso en la aplicación. Los usuarios que alojan el sistema ellos mismos y tienen habilitado el sistema de inicio de sesión se ven afectados. La explotación de esta vulnerabilidad podría exponer los datos del usuario, el acceso a las sesiones del usuario o realizar acciones no deseadas en nombre de los usuarios. Para explotar esta vulnerabilidad, un atacante tendría que convencer a un usuario de que haga clic en un enlace de confirmación de cuenta malicioso. Se recomienda encarecidamente actualizar a la versión `v1.48.1` o posterior para mitigar este riesgo. No existen workarounds para esta vulnerabilidad. ### Solución Actualice a la versión `v1.48.1` o posterior donde se haya aplicado la desinfección de entrada al proceso de confirmación de cuenta. Si la actualización no es posible de inmediato,

07 Nov 2024, 18:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-11-07 18:15

Updated : 2024-11-08 19:01

NVD link : CVE-2024-51989

Mitre link : CVE-2024-51989

CVE.ORG link : CVE-2024-51989

JSON object : View

Products Affected

No product.

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')


NetmanageIT Website NetmanageIT OSINT Web NetmanageIT OpenCTI NetmanageIT PDF Tools NetmanageIT CTO Corner Blog NetmanageIT Email Header Analyzer NetmanageIT Password Pusher NetmanageIT Internet Health and Latency Dashboard NetmanageIT Dedicated Speed Test Site NetmanageIT Ubuntu Mirror 10Gbps Copyright OpenCVE 2024