CVE-2020-8292

Опубликовано: 26 янв. 2021

Источник: nvd

CVSS3: 5.4

CVSS2: 4.3

EPSS Низкий

Уязвимость самостоятельного межсайтового скриптинга (XSS) в сервере Rocket.Chat через функции перетаскивания файлов в окнах сообщений

Описание

В сервере Rocket.Chat обнаружена уязвимость самостоятельного (самораспространяющегося) межсайтового скриптинга (self-XSS), которая связана с использованием функции перетаскивания файлов (drag & drop) в окнах сообщений.

Затронутые версии ПО

Rocket.Chat до версии 3.9.0

Тип уязвимости

Самораспространяющийся межсайтовый скриптинг (self-XSS)

Ссылки

https://docs.rocket.chat/guides/security/security-updates
Vendor Advisory
https://hackerone.com/reports/962902
Exploit
Third Party Advisory
https://docs.rocket.chat/guides/security/security-updates
Vendor Advisory
https://hackerone.com/reports/962902
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*

Версия до 3.9.0 (исключая)

EPSS

Процентиль: 55%

0.00322

Низкий

5.4 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-388j-hgw2-75wf

github

больше 3 лет назад

Rocket.Chat server before 3.9.0 is vulnerable to a self cross-site scripting (XSS) vulnerability via the drag & drop functionality in message boxes.