Victor CMS 1.0 содержит сохраненную уязвимость межсайтового выполнения сценариев в параметре POST comment_author, которая позволяет злоумышленникам внедрять вредоносные сценарии. Злоумышленники могут отправлять созданные полезные данные JavaScript через форму отправки комментариев для выполнения произвольного кода в браузерах жертвы.
Показать оригинальное описание (английский)
Victor CMS 1.0 contains a stored cross-site scripting vulnerability in the 'comment_author' POST parameter that allows attackers to inject malicious scripts. Attackers can submit crafted JavaScript payloads through the comment submission form to execute arbitrary code in victim browsers.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X