Vulnogram 1.0.0 содержит сохраненную уязвимость межсайтового скриптинга в обработке гипертекста комментариев, которая позволяет злоумышленникам внедрять вредоносные скрипты. Удаленные злоумышленники могут внедрять полезные данные XSS через комментарии для выполнения произвольного кода JavaScript в браузерах жертв.
Показать оригинальное описание (EN)
Vulnogram 1.0.0 contains a stored cross-site scripting vulnerability in comment hypertext handling that allows attackers to inject malicious scripts. Remote attackers can inject XSS payloads through comments to execute arbitrary JavaScript in victims' browsers.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vulnogram Vulnogram
cpe:2.3:a:vulnogram:vulnogram:1.0.0:beta1:*:*:*:*:*:*
|
— | — |
Ссылки 4
https://github.com/Vulnogram/Vulnogram
disclosure@vulncheck.com
https://github.com/Vulnogram/Vulnogram/security/advisories/GHSA-pg4p-2985-gvxr
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/vulnogram-stored-cross-site-scripting-via-…
disclosure@vulncheck.com
https://github.com/Vulnogram/Vulnogram/commit/2f0e21b113c58124084c7b74c9768fc24…
af854a3a-2127-422b-91ae-364da2661108