Statamic — это система управления контентом (CMS) на базе Laravel и Git. До версий 5.73.16 и 6.7.2 тег user:reset_password_form мог отображать пользовательский ввод непосредственно в HTML без экранирования, позволяя злоумышленнику создать URL-адрес, который выполняет произвольный JavaScript в браузере жертвы. Это было исправлено в версиях 5.73.16 и 6.7.2.
Показать оригинальное описание (EN)
Statamic is a Laravel and Git powered content management system (CMS). Prior to versions 5.73.16 and 6.7.2, the `user:reset_password_form` tag could render user-input directly into HTML without escaping, allowing an attacker to craft a URL that executes arbitrary JavaScript in the victim's browser. This has been fixed in 5.73.16 and 6.7.2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1