Pachno 1.0.6 содержит сохраненную уязвимость межсайтового скриптинга, которая позволяет злоумышленникам выполнять произвольный код HTML и скриптов, внедряя вредоносные полезные данные в параметры POST. Злоумышленники могут внедрить скрипты через параметры value, comment_body,article_content,description и message через несколько контроллеров, которые хранятся в базе данных и выполняются в сеансах браузера пользователей из-за неправильной очистки с помощью вызовов Request::getRawParameter() или Request::getParameter().
Показать оригинальное описание (EN)
Pachno 1.0.6 contains a stored cross-site scripting vulnerability that allows attackers to execute arbitrary HTML and script code by injecting malicious payloads into POST parameters. Attackers can inject scripts through the value, comment_body, article_content, description, and message parameters across multiple controllers, which are stored in the database and executed in users' browser sessions due to improper sanitization via Request::getRawParameter() or Request::getParameter() calls.
Характеристики атаки
Последствия
Строка CVSS v4.0