CVE-2021-37365

Опубликовано: 10 авг. 2021

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

CTparental before 4.45.03 is vulnerable to cross-site scripting (XSS) in the CTparental admin panel. In bl_categires_help.php, the 'categories' variable is assigned with the content of the query string param 'cat' without sanitization or encoding, enabling an attacker to inject malicious code into the output webpage.

Ссылки

https://gist.github.com/securylight/092ba96a660e07ad76f2a380c2eaa75a
Third Party Advisory
https://gitlab.com/marsat/CTparental/
Third Party Advisory
https://gist.github.com/securylight/092ba96a660e07ad76f2a380c2eaa75a
Third Party Advisory
https://gitlab.com/marsat/CTparental/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:ctparental_project:ctparental:*:*:*:*:*:*:*:*

Версия до 4.45.03 (исключая)

EPSS

Процентиль: 44%

0.00216

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-588w-3hxj-v2wx

github

больше 3 лет назад

BDU:2021-04557

CVSS3: 7.8

fstec

больше 4 лет назад

Уязвимость функции в bl_categires_help.php родительского контроля для Интернета CTparental, позволяющая нарушителю внедрить произвольный код