CVE-2021-46827

Опубликовано: 13 июл. 2022

Источник: nvd

CVSS3: 6.1

EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Oxygen XML WebHelp через ввод специальных символов в поле поиска документов

Описание

Уязвимость межсайтового скриптинга (XSS) существует в предложениях поисковых терминов в онлайн-документации, созданной с помощью Oxygen XML WebHelp. Злоумышленник может выполнить JavaScript, убедив пользователя ввести определённый текст в поле поиска WebHelp.

Затронутые версии ПО

Oxygen XML WebHelp до версии 22.1, сборка 2021082006
Oxygen XML WebHelp версии 23.x до версии 23.1, сборка 2021090310

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

https://www.oxygenxml.com/security/advisory/SYNC-2021-072301.html
Patch
Vendor Advisory
https://www.oxygenxml.com/security/advisory/SYNC-2021-072301.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sync:oxygen_publishing_engine:*:*:*:*:*:*:*:*

Версия до 22.1 (исключая)

cpe:2.3:a:sync:oxygen_publishing_engine:22.1:2020061014:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_publishing_engine:22.1:2020072823:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_publishing_engine:22.1:2020100801:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_publishing_engine:22.1:2020121711:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_publishing_engine:23.1:2021040717:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_publishing_engine:23.1:2021060401:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:*:*:*:*:*:*:*:*

Версия до 22.1 (исключая)

cpe:2.3:a:sync:oxygen_xml_author:22.1:2020061102:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:22.1:2020072902:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:22.1:2020100710:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:22.1:2020121713:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:23.1:2021030206:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:23.1:2021040908:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_author:23.1:2021061407:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:*:*:*:*:*:*:*:*

Версия до 22.1 (исключая)

cpe:2.3:a:sync:oxygen_xml_developer:22.1:2020061102:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:22.1:2020072902:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:22.1:2020100710:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:22.1:2020121713:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:23.1:2021030206:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:23.1:2021040908:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_developer:23.1:2021061407:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:*:*:*:*:*:*:*:*

Версия до 22.1 (исключая)

cpe:2.3:a:sync:oxygen_xml_editor:22.1:2020061102:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:22.1:2020072902:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:22.1:2020100710:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:22.1:2020121713:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:23.1:2021030206:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:23.1:2021040908:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_editor:23.1:2021061407:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:*:*:*:*:*:*:*:*

Версия до 22.1 (исключая)

cpe:2.3:a:sync:oxygen_xml_webhelp:22.1:2020061014:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:22.1:2020072412:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:22.1:2020100208:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:22.1:2020121713:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:23.1:2021030210:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:23.1:2021040711:*:*:*:*:*:*

cpe:2.3:a:sync:oxygen_xml_webhelp:23.1:2021060306:*:*:*:*:*:*

EPSS

Процентиль: 71%

0.00673

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-rq7j-w5gx-99gf

CVSS3: 6.1

github

больше 3 лет назад

An issue was discovered in Oxygen XML WebHelp before 22.1 build 2021082006 and 23.x before 23.1 build 2021090310. An XSS vulnerability in search terms proposals (in online documentation generated using Oxygen XML WebHelp) allows attackers to execute JavaScript by convincing a user to type specific text in the WebHelp output search field.

EPSS

Процентиль: 71%

0.00673

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79