Bludit версии 3.16.2 содержит уязвимость хранимого межсайтового скриптинга (XSS) в функциях содержимого публикации. Приложение выполняет очистку входного контента на стороне клиента, но не обеспечивает эквивалентную очистку на стороне сервера. Аутентифицированный пользователь может внедрить произвольный код JavaScript в поле контента сообщения, которое сохраняется и позже отображается другим пользователям без надлежащего кодирования вывода.
При просмотре внедренный скрипт выполняется в контексте браузера жертвы, позволяя перехват сеанса, кражу учетных данных, манипулирование контентом или другие действия в рамках привилегий пользователя.
Показать оригинальное описание (EN)
Bludit version 3.16.2 contains a stored cross-site scripting (XSS) vulnerability in the post content functionality. The application performs client-side sanitation of content input but does not enforce equivalent sanitation on the server side. An authenticated user can inject arbitrary JavaScript into the content field of a post, which is stored and later rendered to other users without proper output encoding. When viewed, the injected script executes in the context of the victim’s browser, allowing session hijacking, credential theft, content manipulation, or other actions within the user’s privileges.
Характеристики атаки
Последствия
Строка CVSS v4.0