Podatność CVE-2019-13122
Publikacja: 2019-07-10

Opis:
A Cross Site Scripting (XSS) vulnerability exists in the template tag used to render message ids in Patchwork v1.1 through v2.1.x. This allows an attacker to insert JavaScript or HTML into the patch detail page via an email sent to a mailing list consumed by Patchwork. This affects the function msgid in templatetags/patch.py. Patchwork versions v2.1.4 and v2.0.4 will contain the fix.

Typ:

CWE-79

 (Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'))

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Ozlabs -> Patchwork 

 Referencje:
http://jk.ozlabs.org/projects/patchwork/
http://www.openwall.com/lists/oss-security/2019/07/05/1
https://github.com/getpatchwork/patchwork/commits/master
https://github.com/getpatchwork/patchwork/releases
https://lists.ozlabs.org/pipermail/patchwork/2019-July/005870.html
https://lists.ozlabs.org/pipermail/patchwork/2019-July/005878.html
https://lists.ozlabs.org/pipermail/patchwork/2019-July/date.html
Copyright 2024, cxsecurity.com

 

Back to Top