CVE-2020-36324

Опубликовано: 21 апр. 2021

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

Wikimedia Quarry analytics-quarry-web before 2020-12-15 allows Reflected XSS because app.py does not explicitly set the application/json content type.

Ссылки

https://github.com/wikimedia/analytics-quarry-web/commit/4b7e1d6a3a52ec6cf826a971135a38b0f74785d2
Patch
Third Party Advisory
https://quarry.wmflabs.org/
Product
Third Party Advisory
https://github.com/wikimedia/analytics-quarry-web/commit/4b7e1d6a3a52ec6cf826a971135a38b0f74785d2
Patch
Third Party Advisory
https://quarry.wmflabs.org/
Product
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:wikimedia:analytics-quarry-web:*:*:*:*:*:*:*:*

Версия до 2020-12-15 (исключая)

EPSS

Процентиль: 47%

0.0024

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-3j62-59f5-6q98

github

больше 3 лет назад