Kiteworks — это частная сеть передачи данных (PDN). До версии 9.2.0 уязвимость в Kiteworks Email Protection Gateway позволяла прошедшим проверку подлинности администраторам внедрять вредоносные сценарии через интерфейс конфигурации. Сохраненный сценарий выполняется, когда пользователи взаимодействуют с затронутым пользовательским интерфейсом.
Версия 9.2.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks Email Protection Gateway allows authenticated administrators to inject malicious scripts through a configuration interface. The stored script executes when users interact with the affected user interface. Version 9.2.0 contains a patch for the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1