Podatności w platformie learningowej Claroline

cert.pse-online.pl 2 lat temu
ProduktClaroline < 13.5.8
CVECVE-2022-37161
Krytyczność7.2 /10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
OpisLuka istnieje z powodu niewystarczającego oczyszczania danych dostarczonych przez użytkownika w funkcji Kalendarza w ramach przesyłania pliku SVG. Osoba atakująca zdalnie może wstrzyknąć i wykonać dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej strony internetowej.
AktualizacjaTAK
Linkhttp://github.com/matthieu-hackwitharts/claroline-CVEs/blob/main/svg_xss/svg_xss.md
CVECVE-2022-37160
Krytyczność6.1 /10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
OpisLuka istnieje z powodu niedostatecznej weryfikacji pochodzenia żądania HTTP. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej i wykonać w imieniu ofiary arbitralne działania na zagrożonej witrynie.
AktualizacjaTAK
Linkhttp://github.com/matthieu-hackwitharts/claroline-CVEs/blob/main/csrf/csrf.md
CVECVE-2022-37162
Krytyczność7.2 /10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
OpisLuka wynika z niewystarczającego oczyszczenia danych dostarczonych przez użytkownika w funkcji Kalendarz w polu Lokalizacja wydarzenia w kalendarzu. Osoba atakująca zdalnie może wstrzyknąć i wykonać dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej strony internetowej.
AktualizacjaTAK
Linkhttp://github.com/matthieu-hackwitharts/claroline-CVEs/blob/main/calendar_xss/calendar_xss.md
Idź do oryginalnego materiału