Браузер файлов — это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До версии 2.62.2 индексная страница SPA в обозревателе файлов уязвима для хранимых межсайтовых сценариев (XSS) через поля фирменного оформления, контролируемые администратором. Администратор, который устанавливает для Branding.name вредоносную полезную нагрузку, внедряет постоянный код JavaScript, который выполняется для ВСЕХ посетителей, включая пользователей, не прошедших проверку подлинности.
Эта проблема исправлена в версии 2.62.2.
Показать оригинальное описание (EN)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to version 2.62.2, the SPA index page in File Browser is vulnerable to Stored Cross-Site Scripting (XSS) via admin-controlled branding fields. An admin who sets branding.name to a malicious payload injects persistent JavaScript that executes for ALL visitors, including unauthenticated users. This issue has been patched in version 2.62.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Filebrowser Filebrowser
cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:*
|
— |
2.62.2
|