Qool CMS содержит множество постоянных уязвимостей межсайтового скриптинга в нескольких административных скриптах, из-за которых параметры POST не очищаются должным образом перед сохранением и возвратом пользователям. Злоумышленники могут внедрить вредоносный код JavaScript через такие параметры, как «заголовок», «имя», «электронная почта», «имя пользователя», «ссылка» и «задача» в конечные точки, такие как addnewtype, addnewdatafield, addmenu, addusergroup, addnewuserfield, adduser, addgeneraldata и addcontentitem, для выполнения произвольных сценариев в браузерах администратора.
Показать оригинальное описание (EN)
Qool CMS contains multiple persistent cross-site scripting vulnerabilities in several administrative scripts where POST parameters are not properly sanitized before being stored and returned to users. Attackers can inject malicious JavaScript code through parameters like 'title', 'name', 'email', 'username', 'link', and 'task' in endpoints such as addnewtype, addnewdatafield, addmenu, addusergroup, addnewuserfield, adduser, addgeneraldata, and addcontentitem to execute arbitrary scripts in administrator browsers.
Характеристики атаки
Последствия
Строка CVSS v4.0