CVE-2018-25384
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wikidforum w wersji 2.20 zawiera podatność na atak typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez przesyłanie spreparowanego HTML w parametrze reply_text.
Ocena ryzyka
Atakujący mogą publikować komentarze zawierające kod JavaScript, który zostanie wykonany w przeglądarkach innych użytkowników podczas przeglądania odpowiedzi na forum, co może prowadzić do kradzieży danych lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Wikidforum oraz wprowadzenie filtracji i walidacji danych wejściowych w celu zminimalizowania ryzyka ataków XSS.
Oryginalny opis (angielski, źródło NVD)
Wikidforum 2.20 contains a cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted HTML in the reply_text parameter. Attackers can post comments containing JavaScript code through the rpc.php endpoint that executes in other users' browsers when viewing forum replies.

