یک آسیبپذیری با شناسه CVE-2023-48003 در Asp.Net Zero شناسایی شده است که از راه دور امکان Open Redirect از طریق تزریق HTML در پیامهای کاربر را برای مهاجم فراهم میآورد. در این آسیبپذیری مهاجم میتواند قربانیان را از طریق "<meta http-equiv="refresh" در پیامهای WebSocket به هر URL دلخواه هدایت کنند. هنگامی که پیام ارسال شده توسط مهاجم در داشبورد کاربر قربانی ظاهر میشود، امکان تغییر مسیر بدون تعامل فعال میشود.
محصولات تحت تأثیر
این آسیبپذیری محصول Asp.Net Zero نسخههای قبل از 12.3.0 را تحت تأثیر خود قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء محصول Asp.Net Zero به نسخه 12.3.0 اقدام نمایند.
منبع خبر:
https://github.com/passtheticket/vulnerability-research/blob/main/aspnetzero_html_injection_via_web…;
- 42