Уязвимость межсайтового скриптинга (XSS) в модуле «События/повестка дня» Dolibarr v21.0.0-beta позволяет злоумышленникам выполнять произвольные веб-скрипты или HTML с помощью специально созданной полезной нагрузки, внедренной в параметр Title.
Показать оригинальное описание (EN)
A cross-site scripting (XSS) vulnerability in the Events/Agenda module of Dolibarr v21.0.0-beta allows attackers to execute arbitrary web scripts or HTMl via a crafted payload injected into the Title parameter.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dolibarr Dolibarr_Erp\/Crm
cpe:2.3:a:dolibarr:dolibarr_erp\/crm:21.0.0:beta:*:*:*:*:*:*
|
— | — |
Ссылки 5
https://gist.github.com/Dqtdqt/9762466cd6ec541ea265ba33b09489ff
cve@mitre.org
https://github.com/Dolibarr/dolibarr/commit/56710ce9b79a97df093f586c90bdaf6cce6…
cve@mitre.org
https://github.com/Dolibarr/dolibarr/commit/9aa24d9d9aeab36358c725dae3fe20c9631…
cve@mitre.org
https://github.com/Dolibarr/dolibarr/commit/c0250e4c9106b5c889e512a4771f0205d4f…
cve@mitre.org
https://github.com/Dolibarr/dolibarr/security/policy
cve@mitre.org