CVE-2017-6537
متوسطة / Medium
CVSS 6,1
VULNERABILITY BRIEF
CVE-2017-6537
المصدر الرسمي: NVD
مستوى الخطورة
متوسطة (Medium)
درجة CVSS
6,1
حالة الاستغلال KEV
غير مدرجة حاليًا
تاريخ النشر
2017-03-08
وصف الثغرة
تم اكتشاف مشكلة تنفيذ تعليمات برمجية نصية عبر المواقع (XSS) في webpagetest 3.0. تكمن الثغرة بسبب الترشيح غير الكافي للبيانات المقدمة من المستخدم (bgcolor) التي تُمرر إلى عنوان URL webpagetest-master/www/video/view.php. يمكن للمهاجم تنفيذ أكواد HTML ونصوص برمجية عشوائية في متصفح الضحية ضمن سياق الموقع الضعيف.
الأثر المحتمل
يمكن للمهاجم استغلال هذه الثغرة لتنفيذ أكواد HTML وجافا سكريبت ضارة في متصفح المستخدم، مما قد يؤدي إلى سرقة المعلومات، انتحال الهوية أو تنفيذ هجمات أخرى ذات صلة بموقع الويب المتأثر. درجة الخطورة متوسطة مع درجة CVSS 6.1.
التوصيات والمعالجة
لتقليل الخطر، يُنصح بتطبيق تنقية صارمة للبيانات المُدخلة وعدم السماح بتمرير أي تعليمات برمجية من المستخدمين إلى الصفحات أو السكربتات. راجع روابط المصدر الرسمية لمزيد من المعلومات والتحديثات.
حالة الاستغلال (KEV)
لا يوجد إدراج حاليًا في قائمة KEV.
المراجع الرسمية
English Technical Fields
Description: A Cross-Site Scripting (XSS) issue was discovered in webpagetest 3.0. The vulnerability exists due to insufficient filtration of user-supplied data (bgcolor) passed to the webpagetest-master/www/video/view.php URL. An attacker could execute arbitrary HTML and script code in a browser in the context of the vulnerable website.
CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N