CVE-2024-36076

Опубликовано: 19 мая 2024

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

Cross-Site WebSocket Hijacking in SysReptor from version 2024.28 to version 2024.30 causes attackers to escalate privileges and obtain sensitive information when a logged-in SysReptor user visits a malicious same-site subdomain in the same browser session.

Ссылки

https://github.com/Syslifters/sysreptor/releases/tag/2024.40
Release Notes
https://github.com/Syslifters/sysreptor/security/advisories/GHSA-2vfc-3h43-vghh
Vendor Advisory
https://github.com/Syslifters/sysreptor/releases/tag/2024.40
Release Notes
https://github.com/Syslifters/sysreptor/security/advisories/GHSA-2vfc-3h43-vghh
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:syslifters:sysreptor:*:*:*:*:*:*:*:*

Версия от 2024.28 (включая) до 2024.40 (исключая)

EPSS

Процентиль: 60%

0.00403

Низкий

8.8 High

CVSS3

Дефекты

CWE-352

Связанные уязвимости

GHSA-rw3m-9ff4-qmp2