CVE-2023-4479: XSS-haavoittuvuus osoitteessa M-Files Web.

KUVAUS:

Tallennettu XSS-haavoittuvuus M-Files Web-versioissa ennen 23.08 antaa hyökkääjän suorittaa skriptin käyttäjän selaimessa tallennetun HTML-dokumentin kautta rajoitetun ajanjakson aikana.

VAIKUTTAVAT TUOTTEET:

M-Files Web ennen 23.8

LISÄTIETOJA:

Tämän haavoittuvuuden hyödyntäminen edellyttää pääsyä osoitteeseen M-Files Vault, jossa tallennetaan haitallisia HTML-tiedostoja, ja sen jälkeen käyttäjän on avattava se erikseen annetulla linkillä. Normaalisti tiedoston avaaminen Holvista osoitteesta M-Files Web ei aiheuttaisi haavoittuvuutta. Onnistuneen yrityksen kesto on myös rajoitettu.

CVSS 3.1 Base Score: 7.3

CVSS 3.1 Temporal Score: 6.4

CVSS-vektori: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

CWE: CWE-79 Cross-Site Scripting -selainten ristiinkoodaus

CAPEC: CAPEC-592 Stored XSS

Sisäinen tunnus: 167872

Myöntämispäivä: 2023-08-22

HYÖDYNNETTÄVYYS

Julkisesti julkistettu: Ei

Hyödynnetään: Ei

Hyödyntämisen todennäköisyys: vähäinen - vastuullisesti raportoitu.

LINKIT

https://www.cve.org/CVERecord?id=CVE-2023-4479

HISTORIA

2024-03-04 Julkaistu