В модуле Dashboard Vtiger CRM 8.4.0 существует уязвимость внедрения HTML. Приложению не удается должным образом нейтрализовать вводимые пользователем данные в параметре tabid представления DashBoardTab (действие getTabContents), что позволяет злоумышленнику внедрить произвольный HTML-контент в интерфейс информационной панели. Внедренный контент отображается в браузере жертвы.
Показать оригинальное описание (EN)
A HTML Injection vulnerability exists in the Dashboard module of Vtiger CRM 8.4.0. The application fails to properly neutralize user-supplied input in the tabid parameter of the DashBoardTab view (getTabContents action), allowing an attacker to inject arbitrary HTML content into the dashboard interface. The injected content is rendered in the victim's browser
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1