Описание
XSS in various backend modules due to (un)escaping in JS notification module
The notification module displaying flash messages unscapes HTML coming from the server, resulting in XSS vulnerabilities with various names and labels of entities (eg. workspace title or media title). This however means you must be a logged in user with respective rights in the first place to leverage the attack vector.
Пакеты
Наименование
neos/neos
composer
Затронутые версииВерсия исправления
>= 3.3, < 5.3.10
5.3.10
Наименование
neos/neos
composer
Затронутые версииВерсия исправления
>= 7.0.0, < 7.0.9
7.0.9
Наименование
neos/neos
composer
Затронутые версииВерсия исправления
>= 7.1.0, < 7.1.7
7.1.7
Наименование
neos/neos
composer
Затронутые версииВерсия исправления
>= 7.2.0, < 7.2.6
7.2.6
Наименование
neos/neos
composer
Затронутые версииВерсия исправления
>= 7.3.0, < 7.3.4
7.3.4
Наименование
neos/neos
composer
Затронутые версииВерсия исправления
>= 8.0.0, < 8.0.2
8.0.2
Дефекты
CWE-79
Дефекты
CWE-79