Statamic — это система управления контентом (CMS) на базе Laravel и Git. До версии 6.6.2 сохраненный XSS в настройках цветового режима панели управления позволял аутентифицированным пользователям с доступом к панели управления внедрять вредоносный код JavaScript, который выполняется, когда пользователь с более высокими привилегиями выдает себя за их учетную запись. Это было исправлено в версии 6.6.2.
Показать оригинальное описание (EN)
Statamic is a Laravel and Git powered content management system (CMS). Prior to 6.6.2, stored XSS in the control panel color mode preference allows authenticated users with control panel access to inject malicious JavaScript that executes when a higher-privileged user impersonates their account. This has been fixed in 6.6.2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
6.0.0
|
6.6.2
|