CVE-2020-8288

Опубликовано: 26 янв. 2021

Источник: nvd

CVSS3: 5.4

CVSS2: 3.5

EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Rocket.Chat сервере через параметр "value"

Описание

Функция specializedRendering в сервере Rocket.Chat позволяет осуществить межсайтовый скриптинг (XSS) через параметр value.

Затронутые версии ПО

Rocket.Chat сервер версии до 3.9.2

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

https://docs.rocket.chat/guides/security/security-updates
Vendor Advisory
https://hackerone.com/reports/899954
Exploit
Third Party Advisory
https://rocket.chat/xss-vulnerability-hotfix-available-for-all-affected-versions/
Patch
Vendor Advisory
https://docs.rocket.chat/guides/security/security-updates
Vendor Advisory
https://hackerone.com/reports/899954
Exploit
Third Party Advisory
https://rocket.chat/xss-vulnerability-hotfix-available-for-all-affected-versions/
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*

Версия до 3.9.2 (исключая)

EPSS

Процентиль: 65%

0.00498

Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-q8vp-9pjp-8vc7