Decidim – это демократическая система участия. В версиях ниже 0.30.5 и 0.31.0.rc1–0.31.0 уязвимость выполнения сохраненного кода в поле имени пользователя позволяет злоумышленнику с низким уровнем привилегий выполнять произвольный код в контексте любого пользователя, который пассивно посещает страницу комментариев, что приводит к высокому уровню конфиденциальности и целостности, выходящему за границы безопасности. Эта проблема исправлена в версиях 0.30.5 и 0.31.1.
Показать оригинальное описание (EN)
Decidim is a participatory democracy framework. In versions below 0.30.5 and 0.31.0.rc1 through 0.31.0, a stored code execution vulnerability in the user name field allows a low-privileged attacker to execute arbitrary code in the context of any user who passively visits a comment page, resulting in high confidentiality and integrity impact across security boundaries. This issue has been fixed in versions 0.30.5 and 0.31.1.
Характеристики атаки
Последствия
Строка CVSS v4.0