BDU:2024-03410

Опубликовано: 19 апр. 2024

Источник: fstec

CVSS3: 8.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость Q&A-платформы Apache Answer связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовые сценарные атаки

Вендор

Apache Software Foundation

Наименование ПО

Answer

Версия ПО

до 1.3.0 (Answer)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://answer.incubator.apache.org/download/

https://lists.apache.org/thread/nc0g1borr0d3wx25jm39pn7nyf268n0x

https://github.com/apache/incubator-answer/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-29217
CVE

EPSS

Процентиль: 59%

0.0038

Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-29217

CVSS3: 4.6

nvd

почти 2 года назад

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Apache Answer.This issue affects Apache Answer: before 1.3.0. XSS attack when user changes personal website. A logged-in user, when modifying their personal website, can input malicious code in the website to create such an attack. Users are recommended to upgrade to version [1.3.0], which fixes the issue.

GHSA-cvqr-mwh6-2vc6

CVSS3: 5.4

github