Podatność CVE-2020-13756


Publikacja: 2020-06-03

Opis:
Sabberworm PHP CSS Parser before 8.3.1 calls eval on uncontrolled data, possibly leading to remote code execution if the function allSelectors() or getSelectorsBySpecificity() is called with input from an attacker.

Typ:

CWE-20

(Improper Input Validation)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Sabberworm -> Php css parser 

 Referencje:
http://packetstormsecurity.com/files/157923/Sabberworm-PHP-CSS-Code-Injection.html
http://seclists.org/fulldisclosure/2020/Jun/7
https://github.com/sabberworm/PHP-CSS-Parser/commit/2ebf59e8bfbf6cfc1653a5f0ed743b95062c62a4
https://github.com/sabberworm/PHP-CSS-Parser/releases/tag/8.3.1

Copyright 2024, cxsecurity.com

 

Back to Top