Функция чата в приложении Sourcecodester FAQ Bot с AI Assistant v1.0 уязвима для межсайтового скриптинга (XSS) из-за неправильной обработки вводимых пользователем данных. Злоумышленник может внедрить вредоносный HTML или JavaScript в сообщения чата, которые выполняются в браузере любого пользователя, просматривающего беседу.
Показать оригинальное описание (EN)
The chat feature in the application Sourcecodester FAQ Bot with AI Assistant v1.0 is vulnerable to Cross-Site Scripting (XSS) due to improper handling of user-supplied input. An attacker can inject malicious HTML or JavaScript into chat messages, which executes in the browser of any user viewing the conversation.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Remyandrade Faq_Bot_With_Ai_Assistant
cpe:2.3:a:remyandrade:faq_bot_with_ai_assistant:1.0:*:*:*:*:*:*:*
|
— | — |