Описание
In Eclipse Vert.x versions [4.0.0, 4.5.21] and [5.0.0, 5.0.4], when "directory listing" is enabled, file and directory names are inserted into generated HTML without proper escaping in the href, title, and link attributes. An attacker who can create or rename files or directories within a served path can craft filenames containing malicious script or HTML content, leading to stored cross-site scripting (XSS) that executes in the context of users viewing the affected directory listing.
Ссылки
- Issue TrackingVendor AdvisoryExploit
Уязвимые конфигурации
Конфигурация 1Версия от 4.0.0 (включая) до 4.5.22 (исключая)Версия от 5.0.0 (включая) до 5.0.5 (исключая)
Одно из
cpe:2.3:a:eclipse:vert.x:*:*:*:*:*:*:*:*
cpe:2.3:a:eclipse:vert.x:*:*:*:*:*:*:*:*
EPSS
Процентиль: 12%
0.00041
Низкий
6.4 Medium
CVSS3
Дефекты
CWE-79
Связанные уязвимости
CVSS3: 4.9
github
4 месяца назад
Vert.x-Web vulnerable to Stored Cross-site Scripting in directory listings via file names
EPSS
Процентиль: 12%
0.00041
Низкий
6.4 Medium
CVSS3
Дефекты
CWE-79