wpForo Forum 2.4.14 содержит сохраненную уязвимость межсайтового скриптинга, которая позволяет прошедшим проверку подлинности подписчикам загружать файлы SVG в качестве аватаров профиля с помощью функции загрузки аватаров. Злоумышленники загружают созданный SVG, содержащий внедрение CSS или обработчики событий JavaScript, которые выполняются в браузерах любого пользователя, просматривающего страницу профиля злоумышленника.
Показать оригинальное описание (EN)
wpForo Forum 2.4.14 contains a stored cross-site scripting vulnerability that allows authenticated subscribers to upload SVG files as profile avatars through the avatar upload functionality. Attackers upload a crafted SVG containing CSS injection or JavaScript event handlers that execute in the browsers of any user who views the attacker's profile page.
Характеристики атаки
Последствия
Строка CVSS v4.0