Sage DPW до 2024_12_000 уязвим для межсайтового скриптинга (XSS). Пользователи Sage с низкими привилегиями и привилегиями роли сотрудника могут постоянно хранить код JavaScript в полях ввода Kurstitel и Kurzinfo. Внедренная полезная нагрузка выполняется для каждого аутентифицированного пользователя, который просматривает измененные элементы данных и взаимодействует с ними.
Показать оригинальное описание (EN)
Sage DPW before 2024_12_000 is vulnerable to Cross Site Scripting (XSS). Low-privileged Sage users with employee role privileges can permanently store JavaScript code in the Kurstitel and Kurzinfo input fields. The injected payload is executed for each authenticated user who views and interacts with the modified data elements.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Sagedpw Sage_Dpw
cpe:2.3:a:sagedpw:sage_dpw:*:*:*:*:*:*:*:*
|
— |
2024_12_000
|