Описание
A logic error when using mb_strpos() to check for potential XSS payload in Bitrix24 22.0.300 allows attackers to bypass XSS sanitisation via placing HTML tags at the begining of the payload.
Ссылки
- ExploitThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1
cpe:2.3:a:bitrix24:bitrix24:22.0.300:*:*:*:*:*:*:*
EPSS
Процентиль: 21%
0.00067
Низкий
9 Critical
CVSS3
5.4 Medium
CVSS3
Дефекты
CWE-79
CWE-79
Связанные уязвимости
CVSS3: 9
github
больше 2 лет назад
A logic error when using mb_strpos() to check for potential XSS payload in Bitrix24 22.0.300 allows attackers to bypass XSS sanitisation via placing HTML tags at the begining of the payload.
CVSS3: 9
fstec
больше 2 лет назад
Уязвимость функции mb_strpos() сервиса для управления бизнесом Битрикс24, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
EPSS
Процентиль: 21%
0.00067
Низкий
9 Critical
CVSS3
5.4 Medium
CVSS3
Дефекты
CWE-79
CWE-79