ГлавнаяБаза уязвимостей БДУ → BDU:2025-02458
6.4средняя

BDU:2025-02458 (CVE-2024-57386)

Уязвимость веб-приложения для управления финансами Wallos, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-03-10
Описание

Уязвимость веб-приложения для управления финансами Wallos связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Wallos (2.41.0)
Способ устранения

Компенсирующие меры:
- очистка пользовательских данных: Убедитесь, что все данные, вводимые пользователем, тщательно обрабатываются для предотвращения угроз. Это включает в себя удаление или кодирование потенциально опасных символов (таких как <, >, ", ', и т.д.), которые могут быть восприняты как HTML или JavaScript.
- использование кодирования выходных данных: При отображении контента, созданного пользователем, следует кодировать любые данные, которые могут быть интерпретированы как HTML или JavaScript. Например, замените <на <, >на >и т. д.
- проверка и фильтрация входной информации: Проверяйте и фильтруйте входные данные в соответствии с ожидаемым форматом (например, адреса электронной почты, номера и т.д.) и убедитесь, что HTML или JavaScript не допускаются, если это не требуется.
- HTTPOnly и защищенные файлы cookie: Применяйте флаг HTTPOnly для файлов cookie, чтобы запретить JavaScript доступ к данным сеанса или файлам cookie напрямую.

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/PawaritSanguanpang/CVEs/tree/main/Wallos/CVE-2024-57386
Проверьте безопасность своего сайта и почты → Полная проверка домена