Nextcloud Calendar — это приложение календаря для Nextcloud. Аутентифицированные пользователи могут создавать событие с манипулированными д…
Nextcloud Calendar — это приложение календаря для Nextcloud. Аутентифицированные пользователи могут создавать событие с манипулированными данными вложений, что приведет к плохому перенаправлению для участников при нажатии. Рекомендуется обновить приложение Nextcloud Calendar до версии 4.6.8 или 4.7.2.
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда конкретный элемент не соответствует ожидаемому типу, например ожидается цифра (0–9), а передаётся буква (A–Z).
https://cwe.mitre.org/data/definitions/241.html →Открыть в коллекции CWE →Данная атака основана на клиентском коде, осуществляющем доступ к локальным файлам и ресурсам вместо URL. Когда клиентский браузер ожидает строку URL, но вместо этого получает запрос к локальному файлу, выполнение, вероятно, происходит в пространстве процесса браузера с полномочиями браузера для доступа к локальным файлам. Злоумышленник может отправить результаты этого запроса к локальным файлам на подконтрольный ему ресурс. Данная атака может применяться для кражи конфиденциальных аутентификационных данных (локальных или удалённых) либо для получения информации о профиле системы с целью проведения дальнейших атак.
https://capec.mitre.org/data/definitions/48.html →Открыть в коллекции CAPEC →