Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04203

Опубликовано: 15 июл. 2021
Источник: fstec
CVSS3: 5.4
CVSS2: 3.5
EPSS Низкий

Описание

Уязвимость электронной экзаменационной системы TCExam связана с некорректным отображением файлов в виде text/html, начинающихся с точки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки

Вендор

Nicola Asuni

Наименование ПО

TCExam

Версия ПО

до 14.8.1 включительно (TCExam)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/tecnickcom/tcexam/commit/99ee2e02849c6285c5b9f18f31a1b5938d97191b

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00206
Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-20112

CVSS3: 5.4
nvd
больше 4 лет назад

A stored cross-site scripting vulnerability exists in TCExam <= 14.8.1. Valid files uploaded via tce_select_mediafile.php with a filename beggining with a period will be rendered as text/html. An attacker with access to tce_select_mediafile.php could upload a malicious javascript payload which would be triggered when another user views the file.

github логотип

GHSA-cffr-47qj-jmf7

github
больше 3 лет назад

A stored cross-site scripting vulnerability exists in TCExam <= 14.8.1. Valid files uploaded via tce_select_mediafile.php with a filename beggining with a period will be rendered as text/html. An attacker with access to tce_select_mediafile.php could upload a malicious javascript payload which would be triggered when another user views the file.

EPSS

Процентиль: 43%
0.00206
Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2