BDU:2022-06239

Опубликовано: 10 окт. 2022

Источник: fstec

CVSS3: 5.4

CVSS2: 5.5

EPSS Низкий

Описание

Уязвимость программного обеспечения координации уязвимостей CERT/CC VINCE существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольный HTML-код через созданное сообщение электронной почты с HTML-содержимым в поле «Тема»

Вендор

CERT/CC

Наименование ПО

VINCE

Версия ПО

до 1.50.4 (VINCE)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/CERTCC/VINCE/issues?q=label%3Asecurity

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/CERTCC/VINCE/issues?q=label%3Asecurity

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-40257
CVE

EPSS

Процентиль: 59%

0.00386

Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

CVE-2022-40257

CVSS3: 5.4

nvd

больше 3 лет назад

An HTML injection vulnerability exists in CERT/CC VINCE software prior to 1.50.4. An authenticated attacker can inject arbitrary HTML via a crafted email with HTML content in the Subject field.

GHSA-3g24-rv7h-5xh5

CVSS3: 5.4

github

больше 3 лет назад

An HTML injection vulnerability exists in CERT/CC VINCE software prior to 1.50.4. An authenticated attacker can inject arbitrary HTML via a crafted email with HTML content in the Subject field.

EPSS

Процентиль: 59%

0.00386

Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2