Craft — это система управления контентом (CMS). В версиях с 4.5.0-RC1 по 4.16.18 и с 5.0.0-RC1 по 5.8.22 в компоненте `editableTable.twig` существует сохраненная уязвимость межсайтового скриптинга (XSS) при использовании типа столбца `html`. Приложению не удается очистить входные данные, что позволяет злоумышленнику выполнить произвольный код JavaScript, когда другой пользователь просматривает страницу с вредоносным полем таблицы.
Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь учетную запись администратора, а в рабочей среде должен быть включен `allowAdminChanges`, что противоречит рекомендациям Craft по безопасности. В версиях 4.16.19 и 5.8.23 проблема исправлена.
Показать оригинальное описание (EN)
Craft is a content management system (CMS). In versions 4.5.0-RC1 through 4.16.18 and 5.0.0-RC1 through 5.8.22, a stored Cross-site Scripting (XSS) vulnerability exists in the `editableTable.twig` component when using the `html` column type. The application fails to sanitize the input, allowing an attacker to execute arbitrary JavaScript when another user views a page with the malicious table field. In order to exploit the vulnerability, an attacker must have an administrator account, and `allowAdminChanges` must be enabled in production, which is against Craft's security recommendations. Versions 4.16.19 and 5.8.23 patch the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0