Frappe — это полнофункциональная платформа веб-приложений. До версий 16.11.0 и 15.102.0 злоумышленник может установить URL-адрес созданного изображения, который приводит к XSS при отображении аватара, и он может быть вызван для других пользователей через комментарии на странице веб-сайта. Эта проблема исправлена в версиях 16.11.0 и 15.102.0.
Показать оригинальное описание (EN)
Frappe is a full-stack web application framework. Prior to versions 16.11.0 and 15.102.0, an attacker can set a crafted image URL that results in XSS when the avatar is displayed, and it can be triggered for other users via website page comments. This issue has been patched in versions 16.11.0 and 15.102.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0