Уязвимость межсайтового скриптинга (XSS) в HTTP интерфейсе VideoLAN VLC Media Player, позволяющая внедрять произвольные веб-скрипты или HTML код
Описание
Уязвимости межсайтового скриптинга (XSS) в HTTP интерфейсе VLC Media Player позволяют злоумышленникам внедрять произвольные веб-скрипты или HTML. Эти уязвимости возникают при обработке следующих параметров и URI:
commandв запросе кrequests/vlm_cmd.xmldirв запросе кrequests/browse.xml- URI в запросе, который возвращается в сообщении об ошибке через
share/lua/intf/http.lua.
Затронутые версии ПО
- VideoLAN VLC Media Player версии до 2.0.7 включительно.
Тип уязвимости
- Межсайтовый скриптинг (XSS)
Ссылки
- Third Party Advisory
- Release Notes
- ExploitThird Party Advisory
- Third Party Advisory
- Release Notes
- ExploitThird Party Advisory
Уязвимые конфигурации
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Multiple cross-site scripting (XSS) vulnerabilities in the HTTP Interface in VideoLAN VLC Media Player before 2.0.7 allow remote attackers to inject arbitrary web script or HTML via the (1) command parameter to requests/vlm_cmd.xml, (2) dir parameter to requests/browse.xml, or (3) URI in a request, which is returned in an error message through share/lua/intf/http.lua.
Multiple cross-site scripting (XSS) vulnerabilities in the HTTP Interf ...
Multiple cross-site scripting (XSS) vulnerabilities in the HTTP Interface in VideoLAN VLC Media Player before 2.0.7 allow remote attackers to inject arbitrary web script or HTML via the (1) command parameter to requests/vlm_cmd.xml, (2) dir parameter to requests/browse.xml, or (3) URI in a request, which is returned in an error message through share/lua/intf/http.lua.
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2