Informazioni sul CVE-2024-28106
phpMyFAQ Stored XSS at FAQ News Content
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-28106
Descrizione: “phpMyFAQ è un’applicazione web FAQ open source per PHP 8.1+ e MySQL, PostgreSQL e altri database. Manipolando il parametro “news” in una richiesta POST, un attaccante può iniettare codice JavaScript malevolo. Quando si naviga alla pagina di notizie compromessa, il payload XSS attiva. Questa vulnerabilità è stata corretta in 3.2.6.”
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/thorsten/phpMyFAQ/security/advisories/GHSA-6p68-36m6-392r
- https://github.com/thorsten/phpMyFAQ/commit/c94b3deadd87789389e1fad162bc3dd595c0e15a
Prodotti interessati
- thorsten – phpMyFAQ
Relazioni con altri prodotti
Produttore:thorsten
Prodotto: phpMyFAQ
Anno: 2024
CWE: CWE-79
CVSS: 0.0