CVE-2023-4479: Gespeicherte XSS-Schwachstelle in M-Files Web

BESCHREIBUNG:

Eine gespeicherte XSS-Schwachstelle in M-Files Web-Versionen vor 23.08 ermöglicht es Angreifern, über ein gespeichertes HTML-Dokument innerhalb eines begrenzten Zeitraums ein Skript im Browser des Benutzers auszuführen.

BETROFFENE PRODUKTE:

M-Files Web vor 23.8

MEHR INFORMATIONEN:

Um diese Schwachstelle auszunutzen, muss auf M-Files Vault zugegriffen werden, um bösartige HTML-Dateien zu speichern, und dann muss ein Benutzer dazu gebracht werden, sie über einen speziell dafür vorgesehenen Link zu öffnen. Normalerweise würde das Öffnen der Datei aus dem Tresor von M-Files Web die Sicherheitslücke nicht auslösen. Die Zeitspanne für einen erfolgreichen Versuch ist ebenfalls begrenzt.

CVSS 3.1 Basiswert: 7.3

CVSS 3.1 Zeitliche Bewertung: 6.4

CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

CWE: CWE-79 Cross-Site Scripting

CAPEC: CAPEC-592 Gespeicherte XSS

Interne ID: 167872

Ausstellungsdatum: 2023-08-22

VERWERTBARKEIT

Öffentlich bekannt gegeben: Nein

Ausgenutzt: Nein

Wahrscheinlichkeit der Ausbeutung: gering - verantwortungsbewusst gemeldet

LINKS

https://www.cve.org/CVERecord?id=CVE-2023-4479

GESCHICHTE

2024-03-04 Veröffentlicht