Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01044

Опубликовано: 11 сент. 2018
Источник: fstec
CVSS3: 5.4
CVSS2: 3.5
EPSS Низкий

Описание

Уязвимость системы управления пакетами Katello связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку или межсайтовую подделку запроса

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Katello

Версия ПО

до 3.9.0 (Katello)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/Katello/katello/pull/7757
https://projects.theforeman.org/projects/katello/repository/revisions/17451c950201bedec9bdd3748e17863b550a6be2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00252
Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Связанные уязвимости

redhat логотип

CVE-2018-16887

CVSS3: 5.4
redhat
больше 7 лет назад

A cross-site scripting (XSS) flaw was found in the katello component of Satellite. An attacker with privilege to create/edit organizations and locations is able to execute a XSS attacks against other users through the Subscriptions or the Red Hat Repositories wizards. This can possibly lead to malicious code execution and extraction of the anti-CSRF token of higher privileged users. Versions before 3.9.0 are vulnerable.

nvd логотип

CVE-2018-16887

CVSS3: 5.4
nvd
около 7 лет назад

A cross-site scripting (XSS) flaw was found in the katello component of Satellite. An attacker with privilege to create/edit organizations and locations is able to execute a XSS attacks against other users through the Subscriptions or the Red Hat Repositories wizards. This can possibly lead to malicious code execution and extraction of the anti-CSRF token of higher privileged users. Versions before 3.9.0 are vulnerable.

github логотип

GHSA-mhhc-r88h-2qrm

CVSS3: 5.4
github
больше 3 лет назад

katello Cross-site Scripting vulnerability

EPSS

Процентиль: 48%
0.00252
Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2