CVE-2020-8280

Опубликовано: 06 янв. 2021

Источник: nvd

CVSS3: 5.4

CVSS2: 3.5

EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Nextcloud Contacts из-за некорректной проверки типа файла при загрузке SVG в виде PNG

Описание

Некорректная проверка типа файла в Nextcloud Contacts позволяет злоумышленнику загружать файлы формата SVG как файлы формата PNG. Это дает возможность для проведения атаки типа межсайтового скриптинга (XSS).

Затронутые версии ПО

Nextcloud Contacts 3.4.0

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

https://hackerone.com/reports/998422
Exploit
Third Party Advisory
https://nextcloud.com/security/advisory/?id=NC-SA-2020-044
Vendor Advisory
https://hackerone.com/reports/998422
Exploit
Third Party Advisory
https://nextcloud.com/security/advisory/?id=NC-SA-2020-044
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:nextcloud:contacts:*:*:*:*:*:*:*:*

Версия до 3.4.1 (исключая)

EPSS

Процентиль: 44%

0.00217

Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-v342-j8qr-3849

github

больше 3 лет назад

A missing file type check in Nextcloud Contacts 3.4.0 allows a malicious user to upload SVG files as PNG files to perform cross-site scripting (XSS) attacks.