OPEXUS eComplaint и eCASE до версии 10.2.0.0 неправильно очищают содержимое полей имени и фамилии в профиле пользователя. Аутентифицированный злоумышленник может внедрить части полезных данных XSS в поля своего имени и фамилии. Полезная нагрузка выполняется при отображении полного имени пользователя.
Злоумышленник может запустить сценарий в контексте сеанса жертвы.
Показать оригинальное описание (EN)
OPEXUS eComplaint and eCASE before 10.2.0.0 do not correctly sanitize the contents of first and last name fields in a user profile. An authenticated attacker can inject parts of an XSS payload in their first and last name fields. The payload is executed when the user's full name is rendered. The attacker can run script in the context of a victim's session.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0