GHSA-96hp-38wx-j3wc

Опубликовано: 01 мар. 2023

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Pimcore vulnerable to Cross Site Scripting in Email Blacklist

Impact

The attacker can execute arbitrary JavaScript and steal Cookies information and use them to hijack the user's session.

Patches

Update to version 10.5.18 or apply this patch manually https://github.com/pimcore/pimcore/pull/14467.patch

Workarounds

Apply https://github.com/pimcore/pimcore/pull/14467.patch manually.

References

https://huntr.dev/bounties/3245ff99-9adf-4db9-af94-f995747e09d1/

Ссылки

Пакеты

Наименование

pimcore/pimcore

composer

Затронутые версииВерсия исправления

< 10.5.18

10.5.18

EPSS

Процентиль: 0%

0.00002

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2023-1116

Дефекты

CWE-79

Связанные уязвимости

CVE-2023-1116

CVSS3: 5.4

nvd

почти 3 года назад

Cross-site Scripting (XSS) - Stored in GitHub repository pimcore/pimcore prior to 10.5.18.

BDU:2023-01822

CVSS3: 5.4

fstec

почти 3 года назад

Уязвимость функции blacklistAction() программной платформы PHP pimcore, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 0%

0.00002

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2023-1116

Дефекты

CWE-79