VDB-200733 · CVE-2022-29251 · GHSA-vmhh-xh3g-j992

Flamingo Theme UI jusqu’à 12.10.10/13.4.6/13.10.2 sur XWiki Form Field FlamingoThemesCode.WebHomeSheet newThemeName cross site scripting

CVSS Score méta-temporaire	Prix actuel de l'exploit (≈)	Score d'intérêt CTI
5.7	$0-$5k	0.00

Résuméinformation

Il a été détecté une vulnérabilité classée problématique dans Flamingo Theme UI jusqu’à 12.10.10/13.4.6/13.10.2 sur XWiki. Affecté par ce problème est une fonction inconnue du fichier FlamingoThemesCode.WebHomeSheet du composant Form Field Handler. L’utilisation de l’argument newThemeName aboutit à cross site scripting. Cette faille est connue sous le nom CVE-2022-29251. L'attaque peut être menée à distance. Il n'existe pas d'exploit disponible. Il est suggéré de mettre à jour le composant affecté.

Détailsinformation

Une vulnérabilité classée problématique a été trouvée dans Flamingo Theme UI jusqu’à 12.10.10/13.4.6/13.10.2 sur XWiki. Affecté par cette vulnérabilité est une fonction inconnue du fichier FlamingoThemesCode.WebHomeSheet du composant Form Field Handler. A cause de la manipulation du paramètre newThemeName avec une valeur d'entrée inconnue mène à une vulnérabilité de classe cross site scripting.

La vulnerabilité a été publié en 26/05/2022 avec le numéro d'identification GHSA-vmhh-xh3g-j992 (confirmé). La notice d'information est disponible en téléchargement sur github.com Cette vulnérabilité est identifiée comme CVE-2022-29251. Les détails technniques sont connus, mais aucun exploite n'est disponible.

Mettre à jour à la version 12.10.11, 13.4.7, 13.10.3 ou 14.0-rc1 élimine cette vulnérabilité. En appliquant le correctif bd935320bee3c27cf7548351b1d0f935f116d437 il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur github.com. La meilleure solution suggérée pour atténuer le problème est Mise à niveau.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produitinformation

Nom

Flamingo Theme UI

Version

Licence

open-source

CPE 2.3information

CPE 2.2information

CVSSv4information

VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3information

VulDB Score méta-base: 5.8
VulDB Score méta-temporaire: 5.7

VulDB Note de base: 4.3
VulDB Note temporaire: 4.1
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CNA Note de base: 7.4
CNA Vecteur (GitHub, Inc.): 🔍

CVSSv2information

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vecteur	Complexité	Authentification	Confidentialité	Intégrité	Disponibilité
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

Exploitationinformation

Classe: Cross site scripting
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Physique: Non
Local: Non
Remote: Oui

Disponibilité: 🔍
Statut: Non défini

EPSS Score: 🔍
EPSS Percentile: 🔍

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-Day	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Aujourd'hui	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller

Renseignements sur les menacesinformation

Intérêt: 🔍
Acteurs actifs: 🔍
Groupes APT actifs: 🔍

Contre-mesuresinformation

Recommandé: Mise à niveau
Statut: 🔍

Heure 0 jour: 🔍

Mise à niveau: Flamingo Theme UI 12.10.11/13.4.7/13.10.3/14.0-rc1
Correctif: bd935320bee3c27cf7548351b1d0f935f116d437