CVE-2024-36140

Опубликовано: 12 нояб. 2024

Источник: nvd

CVSS3: 6.8

CVSS3: 5.4

EPSS Низкий

Описание

This could allow an authenticated remote attacker to inject arbitrary JavaScript code that is later executed by another authenticated victim user with potential higher privileges than the attacker.

Ссылки

https://cert-portal.siemens.com/productcert/html/ssa-230445.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:siemens:ozw672_firmware:*:*:*:*:*:*:*:*

Версия до 5.2 (исключая)

cpe:2.3:h:siemens:ozw672:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:siemens:ozw772_firmware:*:*:*:*:*:*:*:*

Версия до 5.2 (исключая)

cpe:2.3:h:siemens:ozw772:-:*:*:*:*:*:*:*

EPSS

Процентиль: 42%

0.00203

Низкий

6.8 Medium

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-w95c-2q6h-h5mp

CVSS3: 6.8

github

около 1 года назад

A vulnerability has been identified in OZW672 (All versions < V5.2), OZW772 (All versions < V5.2). The user accounts tab of affected devices is vulnerable to stored cross-site scripting (XSS) attacks. This could allow an authenticated remote attacker to inject arbitrary JavaScript code that is later executed by another authenticated victim user with potential higher privileges than the attacker.

BDU:2024-10326

CVSS3: 6.8

fstec

около 1 года назад

Уязвимость веб-серверов OZW672 и OZW772, связанная с защитой учётных записей пользователей, позволяющая нарушителю выполнить атаки с помощью межсайтовых сценариев (XSS)

EPSS

Процентиль: 42%

0.00203

Низкий

6.8 Medium

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-79