На форуме Altium существует уязвимость хранимого межсайтового скриптинга (XSS) из-за отсутствия очистки входных данных на стороне сервера в содержимом сообщений форума. Злоумышленник, прошедший проверку подлинности, может внедрить произвольный код JavaScript в сообщения на форуме, который сохраняется и выполняется, когда другие пользователи просматривают затронутое сообщение. Успешная эксплуатация позволяет полезной нагрузке злоумышленника выполняться в контексте аутентифицированного сеанса Altium 365 жертвы, обеспечивая несанкционированный доступ к данным рабочей области, включая файлы дизайна и настройки рабочей области. Эксплуатация требует взаимодействия с пользователем для просмотра вредоносного сообщения на форуме.
Показать оригинальное описание (английский)
A stored cross-site scripting (XSS) vulnerability exists in the Altium Forum due to missing server-side input sanitization in forum post content. An authenticated attacker can inject arbitrary JavaScript into forum posts, which is stored and executed when other users view the affected post. Successful exploitation allows the attacker’s payload to execute in the context of the victim’s authenticated Altium 365 session, enabling unauthorized access to workspace data, including design files and workspace settings. Exploitation requires user interaction to view a malicious forum post.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H