Версии Hayabusa до 3.8.0 содержат уязвимость межсайтового скриптинга (XSS) в выходных данных HTML-отчета, которая позволяет злоумышленнику выполнять произвольный код JavaScript, когда пользователь сканирует журналы, экспортированные в формате JSON, содержащие вредоносный контент в поле «Компьютер». Злоумышленник может внедрить JavaScript в поле «Компьютер» журналов JSON, которое выполняется в сеансе браузера судебно-медицинской экспертизы при просмотре сгенерированного отчета HTML, что приведет к раскрытию информации или выполнению кода.
Показать оригинальное описание (EN)
Hayabusa versions prior to 3.8.0 contain a cross-site scripting (XSS) vulnerability in its HTML report output that allows an attacker to execute arbitrary JavaScript when a user scans JSON-exported logs containing malicious content in the Computer field. An attacker can inject JavaScript into the Computer field of JSON logs that executes in the forensic examiner's browser session when viewing the generated HTML report, leading to information disclosure or code execution.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Yamato-Security Hayabusa
cpe:2.3:a:yamato-security:hayabusa:*:*:*:*:*:*:*:*
|
— |
3.8.0
|