ClipBucket v5 — это платформа для обмена видео с открытым исходным кодом. В версиях 5.5.2-#146 и ниже функция «Управление списками воспроизведения» уязвима для сохраненного межсайтового сценария (XSS), особенно в поле «Имя списка воспроизведения». Аутентифицированный пользователь с низким уровнем привилегий может создать список воспроизведения с вредоносным именем, содержащим код HTML/JavaScript, который отображается в неэкранированном виде на страницах сведений о списке воспроизведения и списках.
Это приводит к произвольному выполнению JavaScript в браузере каждого зрителя, включая администраторов. Эта проблема исправлена в версии 5.5.2-#147.
Показать оригинальное описание (EN)
ClipBucket v5 is an open source video sharing platform. In versions 5.5.2-#146 and below, the Manage Playlists feature is vulnerable to stored Cross-site Scripting (XSS),specifically in the Playlist Name field. An authenticated low-privileged user can create a playlist with a malicious name containing HTML/JavaScript code, which is rendered unescaped on playlist detail and listing pages. This results in arbitrary JavaScript execution in every viewer’s browser, including administrators. This issue is fixed in version 5.5.2-#147.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Oxygenz Clipbucket
cpe:2.3:a:oxygenz:clipbucket:*:*:*:*:*:*:*:*
|
5.3
|
5.5.2-147
|