Source |
CVE Liste |
Identifiant |
8404064 |
Date de publication |
2023-11-01 10:15:09 (vue: 2023-11-01 13:07:40) |
Titre |
CVE-2023-1720 |
Texte |
L'absence d'en-tête de réponse de type MIME dans BitRix24 22.0.300 permet aux attaquants distants authentifiés d'exécuter un code JavaScript arbitraire dans le navigateur de la victime \\, et éventuellement d'exécuter un code PHP arbitraire sur le serveur si la victime a un privilège administrateur, via le versement d'un HTML créé par la victime.Fichier via /desktop_app/file.ajax.php?action=uploadfile.
Lack of mime type response header in Bitrix24 22.0.300 allows authenticated remote attackers to execute arbitrary JavaScript code in the victim\'s browser, and possibly execute arbitrary PHP code on the server if the victim has administrator privilege, via uploading a crafted HTML file through /desktop_app/file.ajax.php?action=uploadfile. |
Envoyé |
Oui |
Condensat |
/desktop 1720 2023 300 action=uploadfile administrator ajax allows app/file arbitrary attackers authenticated bitrix24 browser code crafted cve execute file has header html javascript lack mime php possibly privilege remote response server through type uploading victim |
Tags |
|
Stories |
|
Notes |
|
Move |
|