Уязвимость межсайтового сценария в веб-системе управления активами Snipe-IT версии от 8.3.0 до версии 8.3.1 включительно позволяет аутентифицированному злоумышленнику с самыми низкими привилегиями, достаточными только для входа в систему, внедрить произвольный код JavaScript через поля «Имя» и «Фамилия». Код JavaScript выполняется всякий раз, когда «Отчет об активности» или измененный профиль просматриваются непосредственно любым пользователем с достаточными разрешениями. Для успешного использования этой проблемы необходимо, чтобы «Отображаемое имя» профиля не было установлено.
Уязвимость исправлена в версии 8.3.2.
Показать оригинальное описание (EN)
Cross-Site Scripting vulnerability in the Snipe-IT web-based asset management system v8.3.0 to up and including v8.3.1 allows authenticated attacker with lowest privileges sufficient only to log in, to inject arbitrary JavaScript code via "Name" and "Surname" fields. The JavaScript code is executed whenever "Activity Report" or modified profile is viewed directly by any user with sufficient permissions. Successful exploitation of this issue requires that the profile's "Display Name" is not set. The vulnerability is fixed in v8.3.2.
Характеристики атаки
Последствия
Строка CVSS v3.1