MyBB My Arcade Plugin 1.3 содержит постоянную уязвимость межсайтового скриптинга, которая позволяет прошедшим проверку подлинности пользователям внедрять вредоносные скрипты через комментарии к результатам аркадных игр. Злоумышленники могут добавлять в поле комментария созданные полезные данные HTML и JavaScript, которые выполняются, когда другие пользователи просматривают или редактируют комментарий.
Показать оригинальное описание (EN)
MyBB My Arcade Plugin 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated users to inject malicious scripts through arcade game score comments. Attackers can add crafted HTML and JavaScript payloads in the comment field that execute when other users view or edit the comment.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mybb My_Arcade
cpe:2.3:a:mybb:my_arcade:1.3:*:*:*:*:mybb:*:*
|
— | — |