Katalog CVE

CVE-2018-25384

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wikidforum w wersji 2.20 zawiera podatność na atak typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez przesyłanie spreparowanego HTML w parametrze reply_text.

Ocena ryzyka

Atakujący mogą publikować komentarze zawierające kod JavaScript, który zostanie wykonany w przeglądarkach innych użytkowników podczas przeglądania odpowiedzi na forum, co może prowadzić do kradzieży danych lub przejęcia sesji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Wikidforum oraz wprowadzenie filtracji i walidacji danych wejściowych w celu zminimalizowania ryzyka ataków XSS.

Oryginalny opis (angielski, źródło NVD)

Wikidforum 2.20 contains a cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted HTML in the reply_text parameter. Attackers can post comments containing JavaScript code through the rpc.php endpoint that executes in other users' browsers when viewing forum replies.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS