OPEXUS eComplaint и eCASE до версии 10.2.0.0 неправильно очищают содержимое полей имени и фамилии на экране «Моя информация». Аутентифицированный злоумышленник может внедрить части полезных данных XSS в поля имени и фамилии. Полезная нагрузка выполняется при отображении полного имени.
Злоумышленник может запустить сценарий в контексте сеанса жертвы.
Показать оригинальное описание (EN)
OPEXUS eComplaint and eCASE before 10.2.0.0 do not correctly sanitize the contents of first and last name fields in the 'My Information' screen. An authenticated attacker can inject parts of an XSS payload in the first and last name fields. The payload is executed when the full name is rendered. The attacker can run script in the context of a victim's session.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0