CVE-2020-8281

Опубликовано: 06 янв. 2021

Источник: nvd

CVSS3: 5.4

CVSS2: 3.5

EPSS Низкий

Уязвимость отсутствия проверки типа файла в Nextcloud Contacts, позволяющая загружать вредоносные SVG файлы для проведения XSS-атак

Описание

В Nextcloud Contacts отсутствует проверка типа файла, что позволяет злоумышленнику загружать вредоносные SVG файлы. Эти файлы используются для проведения атак межсайтового скриптинга (XSS).

Затронутые версии ПО

Nextcloud Contacts 3.3.0

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

https://hackerone.com/reports/894876
Exploit
Third Party Advisory
https://nextcloud.com/security/advisory/?id=NC-SA-2020-045
Vendor Advisory
https://hackerone.com/reports/894876
Exploit
Third Party Advisory
https://nextcloud.com/security/advisory/?id=NC-SA-2020-045
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:nextcloud:contacts:*:*:*:*:*:*:*:*

Версия до 3.4.0 (исключая)

EPSS

Процентиль: 44%

0.00217

Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-m93g-hpch-vvw7

github

больше 3 лет назад

A missing file type check in Nextcloud Contacts 3.3.0 allows a malicious user to upload malicious SVG files to perform cross-site scripting (XSS) attacks.