eXo Chat Application antes de 3.3.0-20220417 Mention ExoChatMessageComposer.vue Roteiro Cruzado de Sítios
| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Uma vulnerabilidade foi encontrada em eXo Chat Application e classificada como problemático. Afectado é uma função desconhecida do ficheiro application/src/main/webapp/vue-app/components/ExoChatMessageComposer.vue do componente Mention Handler. A manipulação com uma entrada desconhecida leva a Roteiro Cruzado de Sítios. Usar a CWE para declarar o problema leva à CWE-79. O aconselhamento é partilhado para download em github.com.
A vulnerabilidade é identificada como CVE-2022-4902. O ataque pode ser iniciado a partir da rede. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. O projecto MITRE ATT&CK declara a técnica de ataque como T1059.007.
É declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k.
A actualização para a versão 3.3.0-20220417 é capaz de abordar esta questão. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é 26bf307d3658d1403cfd5c3ad423ce4c4d1cb2dc. O bugfix está pronto para download em github.com. Recomenda-se a actualização do componente afectado. O parecer contém a seguinte observação:
Before this fix, when sending a message with a mention, there is an XSS issue This commit encode html entities in the message before adding markup related to the mention so that, the malicious html is not evaluated
Produto
Tipo
Fabricante
Nome
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 4.4VulDB Meta Temp score: 4.3
VulDB Pontuação Base: 3.5
VulDB Pontuação da Tempestade: 3.4
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 6.1
NVD Vector: 🔍
CNA Pontuação Base: 3.5
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Roteiro Cruzado de SítiosCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: ActualizaçãoEstado: 🔍
Tempo 0-Dia: 🔍
Actualização: Chat Application 3.3.0-20220417
Patch: 26bf307d3658d1403cfd5c3ad423ce4c4d1cb2dc
Linha do tempo
17/04/2022 🔍05/02/2023 🔍
05/02/2023 🔍
05/02/2023 🔍
05/03/2023 🔍
Fontes
Aconselhamento: 485Estado: Confirmado
Confirmado: 🔍
CVE: CVE-2022-4902 (🔍)
Entrada
Criado em: 05/02/2023 16h17Actualizado em: 05/03/2023 09h22
Ajustamentos: 05/02/2023 16h17 (47), 05/03/2023 09h17 (2), 05/03/2023 09h22 (28)
Completo: 🔍
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.