Vulnerabilidad en Sage XRT Business Exchange 12.4.302 (CVE-2022-34323)

Se descubrieron múltiples problemas XSS en Sage XRT Business Exchange 12.4.302 que permiten a un atacante ejecutar código JavaScript en el contexto de los navegadores de otros usuarios. El atacante debe autenticarse para acceder a las funciones vulnerables. Hay un problema presente en las funciones del modelo Filtros y Visualización (Banca en línea > Monitoreo web > Configuración > Filtros / Modelos de visualización). El nombre de un filtro o de un modelo de visualización se interpreta como HTML y, por lo tanto, puede incrustar código JavaScript, que se ejecuta cuando se muestra. Este es un XSS almacenado. Otro problema está presente en la función de Notificaciones (Banca en Línea > Configuración > Notificaciones y alertas > Alertas *). El nombre de una alerta se interpreta como HTML y, por lo tanto, puede incrustar código JavaScript, que se ejecuta cuando se muestra. Este es un XSS almacenado. (Además, existe un problema en la función de descarga de archivos, a la que se puede acceder a través de /OnlineBanking/cgi/isapi.dll/DOWNLOADFRS. Cuando se solicita mostrar la lista de archivos descargables, el contenido de tres campos del formulario se incrusta en el código JavaScript sin previo aviso. sanitización. Esto es esencialmente un auto-XSS.)