GHSA-3hwx-c6cp-q972

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.1

Описание

Publify vulnerable to cross site scripting

Unrestricted file upload allowed the attacker to manipulate the request and bypass the protection of HTML files using a text file. Stored XSS may be obtained.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2022-1811
https://github.com/publify/publify/commit/0fb6b027fbaf17f6a6551f2148482a03eac12927
https://github.com/rubysec/ruby-advisory-db/blob/master/gems/publify_core/CVE-2022-1811.yml
https://huntr.dev/bounties/4d97f665-c9f1-4c38-b774-692255a7c44c

Пакеты

Наименование

publify_core

rubygems

Затронутые версииВерсия исправления

< 9.2.9

9.2.9

EPSS

Процентиль: 41%

0.00193

Низкий

9.1 Critical

CVSS3

CVE ID

CVE-2022-1811

Дефекты

CWE-434

CWE-79

Связанные уязвимости

CVE-2022-1811

CVSS3: 5.4

nvd

больше 3 лет назад

Unrestricted Upload of File with Dangerous Type in GitHub repository publify/publify prior to 9.2.9.

EPSS

Процентиль: 41%

0.00193

Низкий

9.1 Critical

CVSS3

CVE ID

CVE-2022-1811

Дефекты

CWE-434

CWE-79