BDU:2023-09122

Опубликовано: 20 дек. 2023

Источник: fstec

CVSS3: 8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость системы управления документами OpenKM связана с непринятием мер по защите структуры веб-страницы при обработке параметра text. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки путем загрузки специально созданных вредоносных файлов

Вендор

Open Document Management System S.L.

Наименование ПО

OpenKM

Версия ПО

7.1.40 (Professional Edition) (OpenKM)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);

- ограничение загрузки файлов из недостоверных источников.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://github.com/ahrixia/CVE-2023-50072

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-50072
CVE

EPSS

Процентиль: 88%

0.03697

Низкий

8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-50072

CVSS3: 5.4

nvd

около 2 лет назад

A Stored Cross-Site Scripting (XSS) vulnerability exists in OpenKM version 7.1.40 (dbb6e88) With Professional Extension that allows an authenticated user to upload a note on a file which acts as a stored XSS payload. Any user who opens the note of a document file will trigger the XSS.

GHSA-wm3g-qx6c-fjf6