Informazioni sul CVE-2023-23938
Cross-site Scripting (XSS) through the name of a color of select box values in tuleap
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2023-23938
Descrizione: Tuleap is a Free & Source tool for end to end traceability of application and system developments. Affected versions are subject to a cross site scripting attack which can be injected in the name of a color of select box values of a tracker and then reflected in the tracker administration. Administrative privilege is required, but an attacker with tracker administration rights could use this vulnerability to force a victim to execute uncontrolled code in the context of their browser. This issue has been addressed in Tuleap Community Edition version 14.5.99.4. Users are advised to upgrade. There are no known workarounds for this issue.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/Enalean/tuleap/security/advisories/GHSA-mqjm-c6rm-9h87
- https://github.com/Enalean/tuleap/commit/aacd5e798301f24f218298ec8236ec7bef0f5d52
- https://tuleap.net/plugins/tracker/?aid=30734
Prodotti interessati
- Enalean – tuleap
Relazioni con altri prodotti
Produttore:Enalean
Prodotto: tuleap
Anno: 2023
CWE: CWE-79
CVSS: 0.0