XenForo до версий 2.3.9 и до 2.2.18 уязвим для межсайтового скриптинга (XSS), связанного с использованием лайтбоксов в сообщениях. Злоумышленник может внедрить вредоносные сценарии, которые выполняются, когда пользователи взаимодействуют с содержимым публикации, отображаемым в лайтбоксе.
Показать оригинальное описание (EN)
XenForo before 2.3.9 and before 2.2.18 is vulnerable to cross-site scripting (XSS) related to lightbox usage in posts. An attacker can inject malicious scripts that execute when users interact with post content displayed in the lightbox.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Xenforo Xenforo
cpe:2.3:a:xenforo:xenforo:*:*:*:*:*:*:*:*
|
— |
2.2.18
|
|
Xenforo Xenforo
cpe:2.3:a:xenforo:xenforo:*:*:*:*:*:*:*:*
|
2.3.0
|
2.3.9
|