Source |
CVE Liste |
Identifiant |
8404781 |
Date de publication |
2023-11-02 14:15:10 (vue: 2023-11-02 17:07:30) |
Titre |
CVE-2023-26456 |
Texte |
Les utilisateurs ont pu définir un «nom de produit» arbitraire pour Ox Guard.La valeur choisie n'était pas suffisamment désinfectée avant de la traiter à l'interface utilisateur, permettant des attaques de scripts inter-sites indirectes.Les comptes qui ont été temporairement repris pourraient être configurés pour déclencher une exécution persistante de code, permettant à un attaquant de se rendre à pied.La désinfection est maintenant en place pour les noms de produits.Aucun exploit accessible au public n'est connu.
Users were able to set an arbitrary "product name" for OX Guard. The chosen value was not sufficiently sanitized before processing it at the user interface, allowing for indirect cross-site scripting attacks. Accounts that were temporarily taken over could be configured to trigger persistent code execution, allowing an attacker to build a foothold. Sanitization is in place for product names now. No publicly available exploits are known. |
Envoyé |
Oui |
Condensat |
2023 26456 able accounts allowing arbitrary are attacker attacks available before build chosen code configured could cross cve execution exploits foothold guard indirect interface known name names not now over persistent place processing product publicly sanitization sanitized scripting set site sufficiently taken temporarily trigger user users value |
Tags |
|
Stories |
|
Notes |
|
Move |
|