Описание
React applications which rendered to HTML using the ReactDOMServer API were not escaping user-supplied attribute names at render-time. That lack of escaping could lead to a cross-site scripting vulnerability. This issue affected minor releases 16.0.x, 16.1.x, 16.2.x, 16.3.x, and 16.4.x. It was fixed in 16.0.1, 16.1.2, 16.2.1, 16.3.3, and 16.4.2.
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 16.0.0 (включая) до 16.0.1 (исключая)Версия от 16.1.0 (включая) до 16.1.2 (исключая)Версия от 16.2.0 (включая) до 16.2.1 (исключая)Версия от 16.3.0 (включая) до 16.3.3 (исключая)Версия от 16.4.0 (включая) до 16.4.2 (исключая)
Одно из
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
EPSS
Процентиль: 94%
0.16
Средний
6.1 Medium
CVSS3
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-79
CWE-79
Связанные уязвимости
EPSS
Процентиль: 94%
0.16
Средний
6.1 Medium
CVSS3
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-79
CWE-79