| タイトル | Mettle sendportal v3.0.1 Cross Site Scripting |
|---|
| 説明 | A Stored Cross-Site Scripting (XSS) vulnerability exists in the campaign content rendering functionality. An authenticated user can inject arbitrary JavaScript into the content field, which is later rendered without sanitization using Laravel Blade’s {!! !!} directive.
This results in execution of attacker-controlled JavaScript when:
The campaign preview page is opened
The public webview link (/webview/{hash}) is accessed |
|---|
| ソース | ⚠️ https://github.com/mettle/sendportal/issues/338 |
|---|
| ユーザー | B1scuit (UID 97177) |
|---|
| 送信 | 2026年05月08日 07:49 (30 日 ago) |
|---|
| モデレーション | 2026年05月31日 10:14 (23 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 367513 [Mettle sendportal 迄 3.0.1 Campaign /webview/ content クロスサイトスクリプティング] |
|---|
| ポイント | 20 |
|---|