Уязвимость межсайтового скриптинга (XSS) в модуле Product бета-версии Dolibarr v21.0.0 позволяет злоумышленникам выполнять произвольные веб-скрипты или HTML с помощью специально созданной полезной нагрузки, введенной в параметр Title.
Показать оригинальное описание (EN)
A cross-site scripting (XSS) vulnerability in the Product module of Dolibarr v21.0.0-beta allows attackers to execute arbitrary web scripts or HTMl via a crafted payload injected into the Title parameter.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dolibarr Dolibarr_Erp\/Crm
cpe:2.3:a:dolibarr:dolibarr_erp\/crm:21.0.0:beta:*:*:*:*:*:*
|
— | — |
Ссылки 5
https://gist.github.com/Dqtdqt/a942bbce9a5fc851dce366902411c768
cve@mitre.org
https://github.com/Dolibarr/dolibarr/commit/56710ce9b79a97df093f586c90bdaf6cce6…
cve@mitre.org
https://github.com/Dolibarr/dolibarr/commit/9aa24d9d9aeab36358c725dae3fe20c9631…
cve@mitre.org
https://github.com/Dolibarr/dolibarr/commit/c0250e4c9106b5c889e512a4771f0205d4f…
cve@mitre.org
https://github.com/Dolibarr/dolibarr/security/policy
cve@mitre.org