CVE-2021-25955

Опубликовано: 15 авг. 2021

Источник: ubuntu

Приоритет: medium

EPSS Низкий

CVSS2: 3.5

CVSS3: 9

Описание

In “Dolibarr ERP CRM”, WYSIWYG Editor module, v2.8.1 to v13.0.2 are affected by a stored XSS vulnerability that allows low privileged application users to store malicious scripts in the “Private Note” field at “/adherents/note.php?id=1” endpoint. These scripts are executed in a victim’s browser when they open the page containing the vulnerable field. In the worst case, the victim who inadvertently triggers the attack is a highly privileged administrator. The injected scripts can extract the Session ID, which can lead to full Account takeover of the admin and due to other vulnerability (Improper Access Control on Private notes) a low privileged user can update the private notes which could lead to privilege escalation.

Релиз	Статус	Примечание
bionic	DNE
devel	DNE
esm-apps/xenial	needed
esm-infra-legacy/trusty	DNE
esm-infra/focal	DNE
focal	DNE
hirsute	DNE
impish	DNE
jammy	DNE
kinetic	DNE

Показывать по

Ссылки на источники

EPSS

Процентиль: 61%

0.00415

Низкий

3.5 Low

CVSS2

9 Critical

CVSS3

Связанные уязвимости

CVE-2021-25955

CVSS3: 9

nvd

больше 4 лет назад

CVE-2021-25955

CVSS3: 9

debian

больше 4 лет назад

In \u201cDolibarr ERP CRM\u201d, WYSIWYG Editor module, v2.8.1 to v13. ...

GHSA-cpv8-6xgr-rmf6

CVSS3: 9

github

больше 4 лет назад

Dolibarr Cross-site Scripting vulnerability

BDU:2021-04722

CVSS3: 9

fstec

больше 4 лет назад

Уязвимость модуля WYSIWYG Editor системы для планирования ресурсов предприятий и управления взаимоотношений с клиентами Dolibarr, позволяющая нарушителю захватить учетную запись администратора

EPSS

Процентиль: 61%

0.00415

Низкий

3.5 Low

CVSS2

9 Critical

CVSS3

CVE-2021-25955

Описание

Пакет dolibarr

Ссылки на источники

Связанные уязвимости