Payload — это бесплатная система управления контентом с открытым исходным кодом. До версии 3.78.0 в @payloadcms/next в панели администратора существовала сохраненная уязвимость межсайтового скриптинга (XSS). Аутентифицированный пользователь с доступом на запись в коллекцию может сохранять контент, который при просмотре другим пользователем будет выполняться в его браузере.
Эта проблема исправлена в версии 3.78.0.
Показать оригинальное описание (EN)
Payload is a free and open source headless content management system. Prior to version 3.78.0 in @payloadcms/next, a stored Cross-Site Scripting (XSS) vulnerability existed in the admin panel. An authenticated user with write access to a collection could save content that, when viewed by another user, would execute in their browser. This issue has been patched in version 3.78.0.
Характеристики атаки
Последствия
Строка CVSS v3.1