Сохраненный межсайтовый скриптинг (XSS) в Checkmk версии 2.5.0 (бета) до версии 2.5.0b2 позволяет прошедшим проверку подлинности пользователям с разрешением на создание ожидающих изменений для внедрения вредоносного кода JavaScript в боковую панель «Ожидающие изменения», который будет выполняться в браузерах других пользователей, просматривающих боковую панель.
Показать оригинальное описание (EN)
Stored cross-site scripting (XSS) in Checkmk version 2.5.0 (beta) before 2.5.0b2 allows authenticated users with permission to create pending changes to inject malicious JavaScript into the Pending Changes sidebar, which will execute in the browsers of other users viewing the sidebar.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Checkmk Checkmk
cpe:2.3:a:checkmk:checkmk:2.5.0:b1:*:*:*:*:*:*
|
— | — |