Next Click Ventures RealtyScript 4.0.2 не может должным образом очистить загружаемые файлы CSV, что позволяет злоумышленникам внедрять вредоносные сценарии через параметры имени файла в данные составной формы. Злоумышленники могут загружать файлы с полезными нагрузками XSS в поле имени файла для выполнения произвольного JavaScript в браузерах пользователей при обработке или отображении файла.
Показать оригинальное описание (EN)
Next Click Ventures RealtyScript 4.0.2 fails to properly sanitize CSV file uploads, allowing attackers to inject malicious scripts through filename parameters in multipart form data. Attackers can upload files with XSS payloads in the filename field to execute arbitrary JavaScript in users' browsers when the file is processed or displayed.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nextclickventures Realtyscript
cpe:2.3:a:nextclickventures:realtyscript:4.0.2:*:*:*:*:*:*:*
|
— | — |