Сохраненный межсайтовый скриптинг (XSS) в Checkmk 2.5.0 (бета-версия) до версии 2.5.0b2 позволяет прошедшим проверку подлинности пользователям с разрешением создавать хосты или службы для выполнения произвольного JavaScript в браузерах других пользователей, выполняющих поиск с помощью функции единого поиска.
Показать оригинальное описание (EN)
Stored cross-site scripting (XSS) in Checkmk 2.5.0 (beta) before 2.5.0b2 allows authenticated users with permission to create hosts or services to execute arbitrary JavaScript in the browsers of other users performing searches in the Unified Search feature.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Checkmk Checkmk
cpe:2.3:a:checkmk:checkmk:2.5.0:b1:*:*:*:*:*:*
|
— | — |