CVE-2022-37462

Опубликовано: 10 апр. 2023

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

A stored Cross-Site Scripting (XSS) vulnerability in the Chat gadget in Upstream Works Agent Desktop for Cisco Finesse through 4.2.12 and 5.0 allows remote attackers to inject arbitrary web script or HTML via AttachmentId in the file-upload details.

Ссылки

https://www.campusguard.com/post/going-beyond-pen-testing-to-identify-zero-day-exploits
Exploit
Third Party Advisory
https://www.upstreamworks.com/support/notifications/
Vendor Advisory
https://www.campusguard.com/post/going-beyond-pen-testing-to-identify-zero-day-exploits
Exploit
Third Party Advisory
https://www.upstreamworks.com/support/notifications/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:upstreamworks:upstream_works_on_finesse:*:*:*:*:*:*:*:*

Версия от 4.0 (включая) до 4.2.14 (включая)

cpe:2.3:a:upstreamworks:upstream_works_on_finesse:*:*:*:*:*:*:*:*

Версия от 5.0 (включая) до 5.3 (включая)

EPSS

Процентиль: 37%

0.00157

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-ghm6-4qmc-pqv3

CVSS3: 5.4

github

почти 3 года назад

BDU:2023-02998

CVSS3: 5.4

fstec

больше 3 лет назад

Уязвимость компонента Chat gadget агента UWF Agent Desktop программного обеспечения для многоканальных контакт-центров Upstream Works on Finesse (UWF), позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 37%

0.00157

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79