One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8347120 |
| Date de publication | 2023-06-19 18:15:09 (vue: 2023-06-19 21:07:06) |
| Titre | CVE-2023-34461 |
| Texte | PYBB est un babillard open source.Une révision manuelle du code du serveur de billets de bulletin PYBB a révélé qu'une vulnérabilité aurait pu être exploitée dans laquelle les utilisateurs pouvaient soumettre tout type de balise HTML et ont dit la balise.Par exemple, un «» malveillant qui ressemble à `` XSS `` `aurait pu être utilisé pour exécuter du code via JavaScript du côté client.Le problème a été corrigé à compter de «5DEFD92», et les utilisateurs sont invités à mettre à niveau.Les attaquants ont besoin de privilèges de publication afin d'exploiter cette vulnérabilité.Cette vulnérabilité est présente dans la version 0.1.0, et les utilisateurs sont invités à passer à 0,1.1.Les utilisateurs incapables de mettre à niveau peuvent être en mesure de contourner l'attaque par l'un ou l'autre;Suppression de la possibilité de créer des messages, en supprimant la balise `| Safe` du modèle Jinja2 intitulé" Post.html "dans les modèles ou en ajoutant une validation manuelle des liens dans la section de création de post.
PyBB is an open source bulletin board. A manual code review of the PyBB bulletin board server has revealed that a vulnerability could have been exploited in which users could submit any type of HTML tag, and have said tag run. For example, a malicious `` that looks like ```xss``` could have been used to run code through JavaScript on the client side. The problem has been patched as of commit `5defd92`, and users are advised to upgrade. Attackers do need posting privilege in order to exploit this vulnerability. This vulnerability is present within the 0.1.0 release, and users are advised to upgrade to 0.1.1. Users unable to upgrade may be able to work around the attack by either; Removing the ability to create posts, removing the `|safe` tag from the Jinja2 template titled "post.html" in templates or by adding manual validation of links in the post creation section. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 34461 `5defd92` ```xss``` `|safe` ability able adding advised any are around attack attackers been board bulletin client code commit could create creation cve either; example exploit exploited from has have html javascript jinja2 like links looks malicious manual may need open order patched post posting posts present privilege problem pybb release removing revealed review run said section server side source submit tag template templates through titled type unable upgrade used users validation vulnerability which within work |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.