OPEXUS eComplaint и eCASE до версии 10.2.0.0 неправильно очищают содержимое поля «Название организации» при заполнении информации о деле. Аутентифицированный злоумышленник может внедрить полезную нагрузку XSS, которая выполняется в контексте сеанса жертвы, когда она посещает страницу с информацией о деле.
Показать оригинальное описание (EN)
OPEXUS eComplaint and eCASE before 10.2.0.0 do not correctly sanitize the contents of the "Name of Organization" field when filling out case information. An authenticated attacker can inject an XSS payload which is executed in the context of a victim's session when they visit the case information page.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0