XenForo до 2.3.10 и до 2.2.19 уязвим для хранимого межсайтового скриптинга (XSS) в структурированных текстовых упоминаниях, что в первую очередь влияет на содержимое сообщений устаревшего профиля. Злоумышленник может внедрить вредоносные сценарии через созданные упоминания, которые сохраняются и выполняются, когда другие пользователи просматривают контент.
Показать оригинальное описание (EN)
XenForo before 2.3.10 and before 2.2.19 is vulnerable to stored cross-site scripting (XSS) in structured text mentions, primarily affecting legacy profile post content. An attacker can inject malicious scripts through crafted mentions that are stored and executed when other users view the content.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0