CVE-2020-8493

CVSS 6.9 MEDIUMEPSS 1.5%

Vexday Risk Score

33Atención

Decisión SSVC (CISA)

Attend

PoC disponible → seguir de cerca

CVSS 6.9EPSS 1.5%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

30 ene 2020Publicada en NVD

05 feb 2020PoC pública

Recomendación: Planificar corrección próxima — ya existe PoC pública.

A stored XSS vulnerability in Kronos Web Time and Attendance (webTA) affects 3.8.x and later 3.x versions before 4.0 via multiple input fields (Login Message, Banner Message, and Password Instructions) of the com.threeis.webta.H261configMenu servlet via an authenticated administrator.

CVSS:3.0/AC:L/AV:N/A:N/C:L/I:H/PR:H/S:C/UI:R

Productos afectados

n/a · n/a

PoCs públicas encontradas — 2

cve_referencepacketstormsecurity.com/files/156215/Kronos-WebTA-4.0-Privilege-Escalation-Cross-Site-Scripting.htmlno verificado exploitdbwww.exploit-db.com/exploits/48001no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

http://packetstormsecurity.com/files/156215/Kronos-WebTA-4.0-Privilege-Escalation-Cross-Site-Scripting.html https://www.kronos.com/products/kronos-webta http://www.nolanbkennedy.com/post/stored-xss-in-kronos-web-time-and-attendance-webta