首頁
» GitHub 公告
» GHSA-jph3-3j24-pg3j
描述
thorsten/phpmyfaq prior to 3.1.12 is vulnerable to DOM cross-site scripting (XSS) because it fails to sanitize user input in the configuration privacy note URL parameter. This has been fixed in 3.1.12.
基本資訊
類型
reviewed
嚴重度
high
GitHub 上的公告
開啟公告 ↗
儲存庫公告
—
原始碼
瀏覽原始碼 ↗
公開(公告)
2023-04-05 18:30:18 UTC
更新時間
2023-04-06 15:07:26 UTC
GitHub 審核
2023-04-06 15:07:25 UTC
NVD 公開
2023-04-05
EPSS Score
Score
Percentile
0.36%
58.01%
CVSS Scores
Base score
Version
Severity
Vector
8.1
3.1
—
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
點擊展開
攻擊向量 (AV:N)
可經網際網路或企業內可路由網段從遠端觸達,攻擊者不必在裝置旁邊。
攻擊複雜度 (AC:L)
前置條件清楚,成功路徑穩定,不必仰賴罕見競態或極端環境。
權限需求 (PR:H)
需要管理員、SYSTEM 或同等高權限,低權限下難以造成實質破壞。
使用者互動 (UI:R)
需要一次明確的使用者動作(安裝、改設定、開啟惡意文件等)才會落地。
作用域 (S:C)
可從脆弱點橫向波及其他元件或更高權限域,爆炸半徑更大。
機密性影響 (C:H)
大量讀取、匯出或長期潛伏竊取機敏資料,在實務上成立。
完整性影響 (I:H)
可竄改稽核紀錄、植入後門或大面積偽造業務資料,動搖信任根基。
可用性影響 (A:N)
不至於造成業務意義上的長時間停擺或災難性效能崩塌。
CWEs
CWE id
Name
CWE-79
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Affected packages (1)
Vulnerable version ranges and first patched releases as published by GitHub.
Ecosystem
Package
Vulnerable range
First patched
Vulnerable functions
composer
thorsten/phpmyfaq
< 3.1.12
3.1.12
—
cvelogic
Threat Intelligence