Nimforum
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
8.1
Макс. EPSS
0.01323
Распределение по критичности
Критический
0
Высокий
1
Средний
1
Низкий
0
Затронутые диапазоны версий
< 2.2.0
Также сопоставлено как (исходные строки): nim,docutils,nimforum
Топ уязвимостей
CVE-2022-23602Nimforum - это легкая альтернатива Discourse, написанная на Nim. В версиях до 2.2.0 любой пользователь форума может создать новую тему/сообщение с включением ссылки на файл, локальный для операционной системы хоста. Nimforum отобразит файл, если сможет. Это также можно сделать незаметно, используя конечную точку "предварительного просмотра" сообщения NimForum. Даже если NimForum работает как некритичный пользователь, секреты forum.json могут быть украдены. Версия 2.2.0 NimForum включает исправления для этой уязвимости. Пользователям рекомендуется обновиться как можно скорее. Известных обходных путей для этой проблемы нет.
CVE-2021-46872Обнаружена проблема в Nim версий до 1.6.2. Модуль RST языка Nim stdlib, используемый в NimForum и других продуктах, допускает схему URI javascript:, что может привести к XSS в некоторых приложениях. (Версии Nim 1.6.2 и более поздние исправлены; могут быть бэкпорты исправления в некоторые более ранние версии. NimForum 2.2.0 исправлен.)