Sakai — это среда для сотрудничества и обучения (CLE). В версиях 23.0–23.4 и 25.0–25.1 заголовки и описания групп могут содержать сценарии межсайтовых сценариев. Патч включен в выпуски 25.2 и 23.5.
В качестве обходного пути можно проверить таблицу SAKAI_SITE_GROUP на наличие заголовков и описаний, содержащих эту информацию.
Показать оригинальное описание (EN)
Sakai is a Collaboration and Learning Environment (CLE). In versions 23.0 through 23.4 and 25.0 through 25.1, group titles and description can contain cross-site scripting scripts. The patch is included in releases 25.2 and 23.5. As a workaround, one can check the SAKAI_SITE_GROUP table for titles and descriptions that contain this info.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Sakailms Sakai
cpe:2.3:a:sakailms:sakai:*:*:*:*:*:*:*:*
|
23.0
|
23.5
|
|
Sakailms Sakai
cpe:2.3:a:sakailms:sakai:*:*:*:*:*:*:*:*
|
25.0
|
25.2
|