Уязвимость межсайтового скриптинга (XSS) в функции создания отчета в Rarlab WinRAR 7.11 позволяет злоумышленникам раскрывать информацию о пользователе, такую как имя пользователя компьютера, каталог созданного отчета и IP-адрес. Команда создания отчета включает в отчет HTML имена заархивированных файлов без проверки, что позволяет вставлять в отчет потенциально вредоносные теги HTML. Требуется взаимодействие с пользователем.
Пользователь должен использовать функцию «Создать отчет» и открыть отчет.
Показать оригинальное описание (EN)
Cross-site scripting (XSS) vulnerability in the generate report functionality in Rarlab WinRAR 7.11, allows attackers to disclose user information such as the computer username, generated report directory, and IP address. The generate report command includes archived file names without validation in the HTML report, which allows potentially malicious HTML tags to be injected into the report. User interaction is required. User must use the "generate report" functionality and open the report.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Rarlab Winrar
cpe:2.3:a:rarlab:winrar:7.11:-:*:*:*:*:*:*
|
— | — |