CVE-2021-37216

QSAN Storage Manager - Reflected Cross-Site Scripting

CVSS 6.1 MEDIUMEPSS 3.2%CWE-79

En resumen

QSAN Storage Manager no filtra caracteres especiales en los parámetros de la página de encabezado, permitiendo que atacantes inyecten código JavaScript malicioso sin autenticación. Esto puede engañar a usuarios para robar información sensible o modificar sus datos.

Detalle técnico

Vulnerabilidad de XSS reflejada en los parámetros de página de encabezado de QSAN Storage Manager debido a validación insuficiente de entrada de caracteres especiales. Atacantes remotos no autenticados pueden crear URLs maliciosas con payloads JavaScript que se ejecutan en navegadores de víctimas, potencialmente conduciendo al robo de sesiones, credenciales o modificación no autorizada de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

QSAN Storage Manager header page parameters does not filter special characters. Remote attackers can inject JavaScript without logging in and launch reflected XSS attacks to access and modify specific data.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

QSAN · Storage Manager XN8008T QSAN · Storage Manager XN8024R

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.twcert.org.tw/tw/cp-132-4962-44cd2-1.html