CVE-2019-11870:2.1.5之前的Serendipity有XSS通过EXIF数据，该数据在模板/2k11/admin/media

2.1.5之前的Serendipity具有XSS via EXIF数据，该数据在templates/2k11/admin/media_choose.tpl编辑器预览功能或templates/2k11/aadmin/media _items.tpl媒体库功能中处理错误。

出版2019-05-09 23:29:00

已更新2019-05-10 13:23:01

来源米特里

查看位置 NVD公司, CVE.org公司

脆弱性类别：跨站点脚本（XSS）

CVE-2019-11870利用预测评分系统（EPSS）得分

0.10%

未来30天内开采活动的概率EPSS得分历史

~ 41 %

百分比，得分等于或小于的漏洞的比例

基本得分	基本严重性	CVSS矢量	可利用性得分	影响得分	分数来源
4.3	中等	AV:N/AC:M/Au:N/C:N/I:P/A:N	8.6	2.9	NIST标准
访问向量：网络访问复杂性：中等身份验证：无保密影响：无完整性影响：部分可用性影响：无
6.1	中等	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	2.8	2.7	NIST标准
攻击向量：网络攻击复杂度：低所需权限：无用户交互：必需范围：已更改机密性：低完整性：低可用性：无

CWE-79网页生成过程中输入的不正确中和（“交叉脚本”）

在将产品放入作为网页提供给其他用户的输出之前，该产品不会中和或错误地中和用户可控制的输入。

分配人：nvd@nist.gov（主要）

https://blog.s9y.org/archives/282-Serendipity-2.1.5-released.html

意外惊喜2.1.5发布-意外惊喜
发布说明；供应商咨询
http://www.openwall.com/lists/oss-security/2019/05/10/1

oss-security-Re:XSS via EXIF tag in Serendipity博客
邮件列表；第三方咨询
https://github.com/s9y/Serendipity/issues/598

XSS通过exiftag发布#598·s9y/Serendipity·GitHub
第三方咨询
https://www.openwall.com/lists/oss-security/2019/05/03/3

oss-security-XSS通过Serendipity博客中的EXIF标签
邮件列表；第三方咨询

此网站使用cookie管理会话、存储首选项、网站分析和其他用途在我们的隐私政策.
使用此网站即表示您同意CVEdetails.com使用条款！

接受关闭