ClipBucket v5 — это платформа для обмена видео с открытым исходным кодом. В версиях 5.5.2-#146 и ниже функция «Управление фотографиями» уязвима для хранимого межсайтового сценария (XSS). Обычный пользователь, прошедший проверку подлинности, может загрузить фотографию с вредоносным названием фотографии, содержащим код HTML/JavaScript.
Хотя полезная нагрузка не выполняется в фотогалерее или на страницах сведений, доступных пользователю, она отображается небезопасно в разделе «Администратор» → «Управление фотографиями», что приводит к выполнению JavaScript в браузере администратора. Эта проблема исправлена в версии 5.5.2-#147.
Показать оригинальное описание (EN)
ClipBucket v5 is an open source video sharing platform. In versions 5.5.2-#146 and below, the Manage Photos feature is vulnerable to stored Cross-site Scripting (XSS). An authenticated regular user can upload a photo with a malicious Photo Title containing HTML/JavaScript code. While the payload does not execute in the user-facing photo gallery or detail pages, it is rendered unsafely in the Admin → Manage Photos section, resulting in JavaScript execution in the administrator’s browser. This issue is fixed in version 5.5.2-#147.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Oxygenz Clipbucket
cpe:2.3:a:oxygenz:clipbucket:*:*:*:*:*:*:*:*
|
5.3
|
5.5.2-147
|