Textpattern CMS версии 4.9.0 содержит уязвимость межсайтового скриптинга второго порядка, которая позволяет злоумышленникам внедрять вредоносные скрипты, используя неправильную очистку вводимых пользователем данных в XML-элементах канала Atom. Злоумышленники могут встраивать неэкранированные полезные данные в такие параметры, как категория, которые отражаются в полях Atom, таких как и , которые выполняются как JavaScript, когда читатели каналов или агрегаторы CMS потребляют канал и вставляют контент в DOM, используя небезопасные методы.
Показать оригинальное описание (EN)
Textpattern CMS version 4.9.0 contains a second-order cross-site scripting vulnerability that allows attackers to inject malicious scripts by exploiting improper sanitization of user-supplied input in Atom feed XML elements. Attackers can embed unescaped payloads in parameters such as category that are reflected into Atom fields like and , which execute as JavaScript when feed readers or CMS aggregators consume the feed and insert content into the DOM using unsafe methods.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Textpattern Textpattern
cpe:2.3:a:textpattern:textpattern:4.9.0:-:*:*:*:*:*:*
|
— | — |