BDU:2023-05257

Опубликовано: 22 окт. 2021

Источник: fstec

CVSS3: 5.4

CVSS2: 4.9

EPSS Низкий

Описание

Уязвимость компонента file_manage_view.php системы управления контентом DedeCMS связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, провести XSS-атаки

Вендор

Shanghai Zhuozhuo Network Technology Co., Ltd.

Наименование ПО

DedeCMS

Версия ПО

7.5sp2 (DedeCMS)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:

1. Произвести анализ контента с целью запрета HTML/JS и специальных символов в затронутых полях ввода;

2. Ограничить уязвимый параметр, чтобы предотвратить инъекции с помощью запросов методом POST;

3. Обеспечить безопасность места вывода, где контент, подверженный риску, будет проходить санитаризацию перед передачей в качестве выходных данных.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://www.vulnerability-lab.com/get_content.php?id=2195

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-36490
CVE

EPSS

Процентиль: 40%

0.00176

Низкий

5.4 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

CVE-2020-36490

CVSS3: 5.4

nvd

почти 4 года назад

DedeCMS v7.5 SP2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component file_manage_view.php via the `activepath`, `keyword`, `tag`, `fmdo=x&filename`, `CKEditor` and `CKEditorFuncNum` parameters.

GHSA-2339-4jw5-35vw

github

около 3 лет назад