Уязвимость межсайтового скриптинга (XSS) в Nextcloud Contacts из-за некорректной фильтрации результатов поиска для автозаполнения
Описание
В Nextcloud Contacts до версии 2.1.2 отсутствует фильтрация результатов поиска для поля автозаполнения, что может привести к хранимому межсайтовому скриптингу (XSS), требующему взаимодействия пользователя. Уязвимость затрагивает только названия групп, поэтому злоумышленники могут создавать вредоносные результаты поиска только при наличии привилегий, таких как права администратора или администратора группы.
Затронутые версии ПО
- Nextcloud Contacts версии до 2.1.2
Тип уязвимости
Хранимая атака межсайтового скриптинга (XSS)
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
4.8 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
Связанные уязвимости
In Nextcloud Contacts before 2.1.2, a missing sanitization of search results for an autocomplete field could lead to a stored XSS requiring user-interaction. The missing sanitization only affected group names, hence malicious search results could only be crafted by privileged users like admins or group admins.
EPSS
4.8 Medium
CVSS3
3.5 Low
CVSS2