В функции панели мониторинга узлов с оповещениями была обнаружена уязвимость, связанная с внедрением сохраненного HTML-кода, из-за неправильной проверки входного параметра. Злонамеренный аутентифицированный пользователь с необходимыми привилегиями может редактировать метку узла для внедрения HTML-тегов. Если система настроена на использование панели мониторинга узлов с оповещениями и для затронутого узла поступают оповещения, то внедренный HTML-код может отображаться в браузере пользователя-жертвы, взаимодействующего с ним, что делает возможным фишинг и, возможно, атаки с открытым перенаправлением.
Полная эксплуатация XSS и прямое раскрытие информации предотвращаются существующей проверкой входных данных и конфигурацией политики безопасности контента.
Показать оригинальное описание (EN)
A Stored HTML Injection vulnerability was discovered in the Alerted Nodes Dashboard functionality due to improper validation on an input parameter. A malicious authenticated user with the required privileges could edit a node label to inject HTML tags. If the system is configured to use the Alerted Nodes Dashboard, and alerts are reported for the affected node, then the injected HTML may render in the browser of a victim user interacting with it, enabling phishing and possibly open redirect attacks. Full XSS exploitation and direct information disclosure are prevented by the existing input validation and Content Security Policy configuration.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nozominetworks Cmc
cpe:2.3:a:nozominetworks:cmc:*:*:*:*:*:*:*:*
|
— |
25.6.0
|
|
Nozominetworks Guardian
cpe:2.3:a:nozominetworks:guardian:*:*:*:*:*:*:*:*
|
— |
25.6.0
|