概述和输出字段中存储的 XSS (CVE-2023-50924)
CVE编号
CVE-2023-50924利用情况
暂无补丁情况
N/A披露时间
2023-12-23漏洞描述
Englesystem是一个用于混乱事件的排班系统。在v3.4.1之前的Englesystem对于DECT号码、手机号码和工作日志评论字段的用户输入数据执行不充分的验证。这些字段的值将显示在相应的日志概览中,从而允许在其他用户的上下文中注入和执行Javascript代码。此漏洞使得经过身份验证的用户能够向其他用户的会话中注入Javascript。在浏览系统的概览页面时,注入的JS将在系统的正常使用过程中执行。该问题在版本3.4.1中已修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/engelsystem/engelsystem/commit/efda1ffc1ce59f02a7d237d9087... | |
| https://github.com/engelsystem/engelsystem/security/advisories/GHSA-p5ch-rrpm-wvhm |
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论