CVE-2019-19552

Опубликовано: 06 дек. 2019

Источник: nvd

CVSS3: 4.8

CVSS2: 3.5

EPSS Низкий

Описание

In userman 13.0.76.43 through 15.0.20 in Sangoma FreePBX, XSS exists in the user management screen of the Administrator web site, i.e., the/admin/config.php?display=userman URI. An attacker with sufficient privileges can edit the Display Name of a user and embed malicious XSS code. When another user (such as an admin) visits the main User Management screen, the XSS payload will render and execute in the context of the victim user's account.

Ссылки

https://wiki.freepbx.org/display/FOP/2019-12-03+Multiple+XSS+Vulnerabilities
Vendor Advisory
https://wiki.freepbx.org/display/FOP/2019-12-03+Multiple+XSS+Vulnerabilities
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sangoma:freepbx:*:*:*:*:*:*:*:*

Версия от 13.0 (включая) до 13.0.76.43 (включая)

cpe:2.3:a:sangoma:freepbx:*:*:*:*:*:*:*:*

Версия от 14.0 (включая) до 14.0.7 (включая)

cpe:2.3:a:sangoma:freepbx:*:*:*:*:*:*:*:*

Версия от 15.0 (включая) до 15.0.20 (включая)

EPSS

Процентиль: 61%

0.00412

Низкий

4.8 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-99cq-f6jc-fq66

CVSS3: 4.8

github

больше 3 лет назад

EPSS

Процентиль: 61%

0.00412

Низкий

4.8 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79