Informazioni sul CVE-2024-4023
Stored XSS in flatpressblog/flatpress
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-4023
Descrizione: A stored cross-site scripting (XSS) vulnerability exists in flatpressblog/flatpress version 1.3. When a user uploads a file with a `.xsig` extension and directly accesses this file, the server responds with a Content-type of application/octet-stream, leading to the file being processed as an HTML file. This allows an attacker to execute arbitrary JavaScript code, which can be used to steal user cookies, perform HTTP requests, and access content of the same origin.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/ed803c13-0858-4c22-93ba-bf2384ab1e9d
- https://github.com/flatpressblog/flatpress/commit/3c9cc69364a45fd3f92d4bd606344b5dd1205d6a
Prodotti interessati
- flatpressblog – flatpressblog/flatpress
Relazioni con altri prodotti
Produttore:flatpressblog
Prodotto: flatpressblog/flatpress
Anno: 2024
CWE: CWE-79
CVSS: 0.0