Описание
Уязвимость компонента tags_main.php системы управления контентом DedeCMS связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, провести XSS-атаки
Вендор
Shanghai Zhuozhuo Network Technology Co., Ltd.
Наименование ПО
DedeCMS
Версия ПО
7.5sp2 (DedeCMS)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости
Компенсирующие меры:
1. Произвести анализ контента с целью запрета HTML/JS и специальных символов в затронутых полях ввода;
2. Ограничить уязвимый параметр, чтобы предотвратить инъекции с помощью запросов методом POST;
3. Обеспечить безопасность места вывода, где контент, подверженный риску, будет проходить санитаризацию перед передачей в качестве выходных данных.
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 39%
0.00176
Низкий
5.4 Medium
CVSS3
3.5 Low
CVSS2
Связанные уязвимости
CVSS3: 5.4
nvd
больше 4 лет назад
DedeCMS v7.5 SP2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component tags_main.php via the `activepath`, `keyword`, `tag`, `fmdo=x&filename`, `CKEditor` and `CKEditorFuncNum` parameters.
github
больше 3 лет назад
DedeCMS v7.5 SP2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component tags_main.php via the `activepath`, `keyword`, `tag`, `fmdo=x&filename`, `CKEditor` and `CKEditorFuncNum` parameters.
EPSS
Процентиль: 39%
0.00176
Низкий
5.4 Medium
CVSS3
3.5 Low
CVSS2