Описание
Уязвимость средства просмотра PDF-документов внутри страниц XWiki PDF Viewer Macro (Pro) связана с непринятием мер по защите структуры веб-страницы при обработке параметра width. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Вендор
XWiki SAS
Наименование ПО
PDF Viewer Macro (Pro)
Версия ПО
до 2.5.5 включительно (PDF Viewer Macro (Pro))
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/xwikisas/macro-pdfviewer/releases/tag/macro-pdfviewer-2.5.6
https://github.com/xwikisas/macro-pdfviewer/commit/8b5e3f4e44d9d0fe2447358fe4d1b706b7101633
https://store.xwiki.com/xwiki/bin/view/Extension/PDFViewerMacro
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 70%
0.00652
Низкий
9 Critical
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 9
nvd
около 1 года назад
macro-pdfviewer is a PDF Viewer Macro for XWiki using Mozilla pdf.js. The width parameter of the PDF viewer macro isn't properly escaped, allowing XSS for any user who can edit a page. XSS can impact the confidentiality, integrity and availability of the whole XWiki installation when an admin visits the page with the malicious code. This is fixed in 2.5.6.
EPSS
Процентиль: 70%
0.00652
Низкий
9 Critical
CVSS3
9 Critical
CVSS2