V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-66403
CVE
Средний

FileRise - это самостоятельная веб-медикатор с многофайловыми загрузкой, редактированием и пакетными операциями. До 2.2.3 в приложении File…

CVSS
5.4
Средний
EPSS
0.00
p7
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

FileRise - это самостоятельная веб-медикатор с многофайловыми загрузкой, редактированием и пакетными операциями. До 2.2.3 в приложении Filerise существует скрытая уязвимость кросс-сайтного скриптинга (XSS) из-за неправильной обработки загруженных файлов SVG. Приложение принимает пользовательские загрузки SVG без санации или ограничения встроенного контента скрипта. Когда загружается вредоносный SVG, содержащий встроенные полезные нагрузки JavaScript или на основе событий, он позже отображается непосредственно в браузере при просмотре в приложении. Поскольку SVG основаны на XML и позволяют осуществлять скрипты, они выполняются в исходном контексте приложения, что позволяет полностью храниться в XSS. Эта уязвимость зафиксирована в пункте 2.2.3.

Теги · CWE
XSS
CWE-79
CAPEC-63
CAPEC-85
CAPEC-209
CAPEC-588
CAPEC-591
CAPEC-592
Затронутые продукты
Filerise < 2.2.3
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.002 · p7
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
filerise*Отслеживается