Por Rodolfo Tavares 

Como parte das atividades de pesquisa que também são desenvolvidas dentro do time de Consultoria Técnica da Tempest Security Intelligence, foi possível identificar e reportar uma vulnerabilidade que pode ser explorada a partir de ataques do tipo Cross-Site Scripting (XSS) na versão 3.4.15 da solução proprietária Liquid Files a qual foi reconhecida e publicamente reportada pelo MITRE através da CVE-2021-30140.

O Liquid Files é um Virtual Appliance (software pré-configurado incluindo sistema operacional) que pode ser instalado em ambientes VMware, Microsoft Hyper-V, Xen, e até mesmo, em espaço privado próprio em ambientes na nuvem tais como, Amazon AWS, Microsoft Azure Cloud ou se preferir em um servidor dedicado.

Este CVE-2021-30140 retrata que o LiquidFiles 3.4.15 armazenou XSS por meio da funcionalidade “enviar e-mail” ao enviar um arquivo por e-mail para um administrador. Quando um arquivo não tem extensão e contém conteúdo HTML/JavaScript malicioso (como SVG com conteúdo HTML), a carga útil é executada com um clique.

O link disponibilizado a seguir contém as referências para consulta ao CVE-2021-30140.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30140