CVE-2023-4479 : Vulnérabilité XSS stockée dans M-Files Web

DESCRIPTION :

La vulnérabilité XSS stockée dans les versions Web de M-Files antérieures à 23.08 permet à un attaquant d'exécuter un script sur le navigateur de l'utilisateur via un document HTML stocké pendant une période de temps limitée.

LES PRODUITS CONCERNÉS :

M-Files Web avant 23.8

PLUS D'INFORMATIONS :

Pour exploiter cette vulnérabilité, il faut accéder à M-Files Vault afin de stocker des fichiers HTML malveillants, puis amener un utilisateur à les ouvrir à l'aide d'un lien spécifique. Normalement, l'ouverture du fichier à partir de la chambre forte de M-Files Web ne déclencherait pas la vulnérabilité. La durée de la tentative réussie est également limitée.

CVSS 3.1 Score de base : 7.3

Score temporel CVSS 3.1 : 6.4

Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

CWE : CWE-79 Scripts intersites

CAPEC : CAPEC-592 XSS stocké

ID interne : 167872

Date d'émission : 2023-08-22

EXPLOITABILITÉ

Divulgation publique : Non

Exploité : Non

Probabilité d'exploitation : faible - rapporté de manière responsable

LIENS

https://www.cve.org/CVERecord?id=CVE-2023-4479

HISTOIRE

2024-03-04 Publié