GHSA-hx7c-qpfq-xcrp

Опубликовано: 13 янв. 2022

Источник: github

Github: Прошло ревью

CVSS4: 5.1

CVSS3: 5.4

Описание

Cross-site Scripting in django-cms

Django CMS 3.7.3 does not validate the plugin_type parameter while generating error messages for an invalid plugin type, resulting in a Cross Site Scripting (XSS) vulnerability. The vulnerability allows an attacker to execute arbitrary JavaScript code in the web browser of the affected user.

Ссылки

Пакеты

Наименование

django-cms

pip

Затронутые версииВерсия исправления

>= 3.7.0, < 3.7.4

3.7.4

Наименование

django-cms

pip

Затронутые версииВерсия исправления

>= 3.6.0, < 3.6.1

3.6.1

Наименование

django-cms

pip

Затронутые версииВерсия исправления

>= 3.5.0, < 3.5.4

3.5.4

Наименование

django-cms

pip

Затронутые версииВерсия исправления

>= 3.4.0, < 3.4.7

3.4.7

EPSS

Процентиль: 55%

0.0033

Низкий

5.1 Medium

CVSS4

5.4 Medium

CVSS3

CVE ID

CVE-2021-44649

Дефекты

CWE-79

Связанные уязвимости

CVE-2021-44649

CVSS3: 5.4

nvd

около 4 лет назад

CVE-2021-44649

CVSS3: 5.4

debian

около 4 лет назад

Django CMS 3.7.3 does not validate the plugin_type parameter while gen ...

EPSS

Процентиль: 55%

0.0033

Низкий

5.1 Medium

CVSS4

5.4 Medium

CVSS3

CVE ID

CVE-2021-44649

Дефекты

CWE-79