Headline
CVE-2022-39035: 聯銓資訊科技 Smart eVision - Stored XSS
Smart eVision has insufficient filtering for special characters in the POST Data parameter in the specific function. An unauthenticated remote attacker can inject JavaScript to perform XSS (Stored Cross-Site Scripting) attack.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202209008
CVE ID
CVE-2022-39035
CVSS
6.1 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
影響產品
Smart eVision ver.2022.02.21
問題描述
Smart eVision加入最愛功能因POST Data之參數未過濾特殊字元,遠端攻擊者不須登入,即可注入JavaScript語法進行攻擊,進行儲存式XSS(Stored Cross-site scripting)攻擊。
解決方法
聯繫聯銓資訊科技取得洞修補建議
漏洞通報者
Gary Tan, Zac Wang (Talent-Jump)
公開日期
2022-09-28