Plane — это инструмент управления проектами с открытым исходным кодом. Уязвимость межсайтового скриптинга (XSS) была обнаружена в версиях Plane до 0.23. Уязвимость позволяет прошедшим проверку подлинности пользователям загружать файлы SVG, содержащие вредоносный код JavaScript, в виде изображений профиля, которые выполняются в браузерах жертв при просмотре изображения профиля.
Показать оригинальное описание (EN)
Plane is an open-source project management tool. A cross-site scripting (XSS) vulnerability has been identified in Plane versions prior to 0.23. The vulnerability allows authenticated users to upload SVG files containing malicious JavaScript code as profile images, which gets executed in victims' browsers when viewing the profile image.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Plane Plane
cpe:2.3:a:plane:plane:*:*:*:*:*:*:*:*
|
— |
0.23.0
|