VU#317469: Программное обеспеч... Заметка

VU#317469: Программное обеспечение партнера/веб-сайты партнера не очищают файлы отчетов и содержимое заметок, что позволяет осуществлять XSS и RCE

"Partner Software и Partner Web подвержены атакам межсайтового скриптинга (XSS) из-за неправильной очистки файлов отчетов и заметок. Эти приложения, используемые промышленностью, муниципалитетами, правительством штата и частными подрядчиками, позволяют авторизованным пользователям загружать файлы. Функция загрузки файлов не ограничивает типы файлов, что позволяет злоумышленникам выполнять вредоносный код на устройстве жертвы. Кроме того, Partner Web поставляется с учетными данными администратора по умолчанию, что создает значительный риск безопасности. Эти уязвимости, идентифицированные как CVE-2025-6076, CVE-2025-6077 и CVE-2025-6078, могут привести к произвольному выполнению кода и компрометации устройства. Последствия этих уязвимостей позволяют злоумышленникам получить доступ администратора или выполнить атаки XSS. Partner Software выпустила исправление в версии 4.32.2 для устранения этих недостатков безопасности. Исправление удаляет роли пользователей "Администратор" и "Редактор", очищает ввод в разделе "Заметки" и ограничивает вложения файлов определенными форматами. Затронутые версии Partner Web - 4.32 и более ранние. Информацию об исправлении можно найти на веб-сайте Partner Software."