Admidio — это решение для управления пользователями с открытым исходным кодом. В версиях 5.0.6 и ниже обработчик отправки eCard использует необработанное значение $_POST['ecard_message'] вместо обработанного HTMLPurifier $formValues['ecard_message'] при создании HTML-кода поздравительной открытки. Это позволяет злоумышленнику, прошедшему проверку подлинности, внедрить произвольный HTML и JavaScript в электронные письма с поздравительными открытками, отправляемые другим участникам, минуя очистку HTMLPurifier на стороне сервера, которая правильно применяется к полю ecard_message во время проверки формы.
Атака может привести к тому, что любой участник или роль получит фишинговый контент, который выглядит законным и перейдет из веб-приложения в почтовые клиенты получателей. Эта проблема исправлена в версии 5.0.7.
Показать оригинальное описание (EN)
Admidio is an open-source user management solution. In versions 5.0.6 and below, the eCard send handler uses a raw $_POST['ecard_message'] value instead of the HTMLPurifier-sanitized $formValues['ecard_message'] when constructing the greeting card HTML. This allows an authenticated attacker to inject arbitrary HTML and JavaScript into greeting card emails sent to other members, bypassing the server-side HTMLPurifier sanitization that is properly applied to the ecard_message field during form validation. An attack can result in any member or role receiving phishing content that appears legitimate, crossing from the web application into recipients' email clients. This issue has been fixed in version 5.0.7.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Admidio Admidio
cpe:2.3:a:admidio:admidio:*:*:*:*:*:*:*:*
|
— |
5.0.7
|