CleverTap Web SDK версии 1.15.2 и более ранних версий уязвим для межсайтового скриптинга (XSS) через window.postMessage. Функция handleCustomHtmlPreviewPostMessageEvent в src/util/campaignRender/nativeDisplay.js выполняет недостаточную проверку происхождения с помощью метода include(), которую злоумышленник может обойти, используя поддомен.
Показать оригинальное описание (EN)
CleverTap Web SDK version 1.15.2 and earlier is vulnerable to Cross-Site Scripting (XSS) via window.postMessage. The handleCustomHtmlPreviewPostMessageEvent function in src/util/campaignRender/nativeDisplay.js performs insufficient origin validation using the includes() method, which can be bypassed by an attacker using a subdomain
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1