CVE-2021-39221

Опубликовано: 25 окт. 2021

Источник: nvd

CVSS3: 6.4

CVSS3: 5.4

CVSS2: 3.5

EPSS Низкий

Уязвимость хранимого межсайтового скриптинга (XSS) в приложении Nextcloud Contacts

Описание

Nextcloud, платформа для саморазмещаемой продуктивности, в приложении Contacts до версии 4.0.3 была уязвима к атаке Stored Cross-Site Scripting (XSS). Для эксплуатации пользователь должен был кликнуть правой кнопкой мыши на вредоносный файл и открыть его в новой вкладке.

Однако благодаря строгой политике Content-Security-Policy (CSP), поставляемой с Nextcloud, эта уязвимость не может быть эксплуатирована в современных браузерах, поддерживающих CSP. Рекомендуется обновить приложение Nextcloud Contacts до версии 4.0.3. В качестве обходного решения можно использовать браузеры с поддержкой Content-Security-Policy.

Затронутые версии ПО

Nextcloud Contacts до версии 4.0.3

Тип уязвимости

Хранимый межсайтовый скриптинг (XSS)

Ссылки

https://github.com/nextcloud/contacts/pull/2407
Third Party Advisory
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-j6cx-mxqf-f9vc
Third Party Advisory
https://github.com/nextcloud/contacts/pull/2407
Third Party Advisory
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-j6cx-mxqf-f9vc
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:nextcloud:contacts:*:*:*:*:*:*:*:*

Версия до 4.0.3 (исключая)

EPSS

Процентиль: 51%

0.00282

Низкий

6.4 Medium

CVSS3

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

EPSS

Процентиль: 51%

0.00282

Низкий

6.4 Medium

CVSS3

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79