Openfire 4.6.0 содержит сохраненную уязвимость межсайтового сценария в плагине nodejs, которая позволяет злоумышленникам внедрять вредоносные сценарии через параметр «path». Злоумышленники могут создать полезную нагрузку с тегами сценариев для выполнения произвольного JavaScript в контексте того, что пользователи с правами администратора просматривают страницу конфигурации nodejs.
Показать оригинальное описание (EN)
Openfire 4.6.0 contains a stored cross-site scripting vulnerability in the nodejs plugin that allows attackers to inject malicious scripts through the 'path' parameter. Attackers can craft a payload with script tags to execute arbitrary JavaScript in the context of administrative users viewing the nodejs configuration page.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0