Тип ошибки:
CWE-79:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
- Уровень критичности уязвимости (CVSSv3.1): 4.8 (medium)
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N
- Уровень критичности уязвимости (CVSSv4.0): 4.8 (medium)
Описание уязвимости:
В ZoneMinder была выявлена проблема, затрагивающая версии до 1.36.14 включительно.
Обнаруженная уязвимость связана с отсутствием санитизации пользовательского ввода и может позволить злоумышленнику, действующему удаленно, осуществлять атаки межсайтового скриптинга (XSS).
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 27.05.2022
Рекомендации:
Обновление до версии 3.36.16 или выше
Исследователь: Илья Яценко (Positive Technologies)
Идентификаторы:
BDU:2022-03266
Вендор:
ZoneMinder
Уязвимый продукт:
ZoneMinder
Уязвимые версии:
1.36.14 и ниже