Уязвимость хранимого межсайтового скриптинга (XSS) в интерфейсе конфигурации агрегации ссылок позволяет неаутентифицированному удаленному злоумышленнику создать запись в магистрали, содержащую вредоносный код HTML/JavaScript. При просмотре зараженной страницы внедренный скрипт выполняется в контексте браузера жертвы, позволяя выполнять несанкционированные действия, такие как манипулирование интерфейсом. Файл cookie сеанса защищен флагом httpOnly.
Таким образом, злоумышленник не может перехватить сеанс аутентифицированного пользователя.
Показать оригинальное описание (EN)
A stored cross‑site scripting (XSS) vulnerability in the Link Aggregation configuration interface allows an unauthenticated remote attacker to create a trunk entry containing malicious HTML/JavaScript code. When the affected page is viewed, the injected script executes in the context of the victim’s browser, enabling unauthorized actions such as interface manipulation. The session cookie is secured by the httpOnly Flag. Therefore an attacker is not able to take over the session of an authenticated user.
Характеристики атаки
Последствия
Строка CVSS v3.1