Версии плагина SPIP jeux до 4.1.1 содержат уязвимость отраженного межсайтового скриптинга (XSS) в конвейере pre_propre. Плагин включает ненадежные параметры запроса в вывод HTML без надлежащего кодирования вывода, что позволяет злоумышленникам внедрять произвольный контент сценария в страницы, которые отображают блок игры. Когда жертву побуждают посетить созданный URL-адрес, внедренный контент отражается в ответе и выполняется в контексте браузера жертвы.
Показать оригинальное описание (EN)
The SPIP jeux plugin versions prior to 4.1.1 contain a reflected cross-site scripting (XSS) vulnerability in the pre_propre pipeline. The plugin incorporates untrusted request parameters into HTML output without proper output encoding, allowing attackers to inject arbitrary script content into pages that render a jeux block. When a victim is induced to visit a crafted URL, the injected content is reflected into the response and executed in the victim's browser context.
Характеристики атаки
Последствия
Строка CVSS v4.0