One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8341019 |
| Date de publication | 2023-05-31 18:15:09 (vue: 2023-05-31 21:07:08) |
| Titre | CVE-2023-33971 |
| Texte | FormCreator est un plugin GLPI qui permet la création de formulaires personnalisés et la création d'un ou plusieurs billets lorsque le formulaire est rempli.Une vulnérabilité de script inter-sites stockée probable est présente dans FormCreator 2.13.5 et antérieure via l'utilisation de l'utilisation de `## Fullform ##` pour le rendu.Cela pourrait entraîner une exécution arbitraire de code JavaScript dans un contexte administrateur / technologique.Un patch n'est pas disponible au moment de la publication.En tant que solution de contournement, on peut utiliser une expression régulière pour supprimer `" `dans tous les champs.
Formcreator is a GLPI plugin which allow creation of custom forms and the creation of one or more tickets when the form is filled. A probable stored cross-site scripting vulnerability is present in Formcreator 2.13.5 and prior via the use of the use of `##FULLFORM##` for rendering. This could result in arbitrary javascript code execution in an admin/tech context. A patch is unavailable as of time of publication. As a workaround, one may use a regular expression to remove `< > "` in all fields. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 33971 `##fullform##` admin/tech all allow arbitrary code context could creation cross custom cve execution expression fields filled form formcreator forms glpi javascript may more one patch plugin present prior probable publication regular remove rendering result scripting site stored tickets time unavailable use vulnerability when which workaround |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.