exploitDog

CVE-2024-42904

Опубликовано: 03 сент. 2024

Источник: nvd

CVSS3: 6.1

EPSS Низкий

Описание

A cross-site scripting (XSS) vulnerability in SysPass 3.2.x allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the name parameter at /Controllers/ClientController.php.

Ссылки

https://github.com/nuxsmin/sysPass/blob/9d0e169d2163897238877fb65130db47fe1ddcfa/app/modules/api/Controllers/ClientController.php#L89
Issue Tracking
https://github.com/nuxsmin/sysPass/blob/master/lib/SP/DataModel/ClientData.php#L98
Issue Tracking
https://github.com/sysentr0py/CVEs/tree/main/CVE-2024-42904
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:syspass:syspass:*:*:*:*:*:*:*:*

Версия от 3.2.0 (включая) до 3.2.11 (включая)

EPSS

Процентиль: 35%

0.00144

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79

CWE-79

Связанные уязвимости

GHSA-qxrx-gr5j-75cw

CVSS3: 6.1

github

больше 1 года назад

A cross-site scripting (XSS) vulnerability in SysPass 3.2.x allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the name parameter at /Controllers/ClientController.php.

EPSS

Процентиль: 35%

0.00144

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79

CWE-79