CVE-2023-41316— Tolgee 输入验证错误漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2023-41316の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
HTML Injection with email in Tolgee
ソース: NVD (National Vulnerability Database)
脆弱性説明
Tolgee is an open-source localization platform. Due to lack of validation field - Org Name, bad actor can send emails with HTML injected code to the victims. Registered users can inject HTML into unsanitized emails from the Tolgee instance to other users. This unsanitized HTML ends up in invitation emails which appear as legitimate org invitations. Bad actors may direct users to malicious website or execute javascript in the context of the users browser. This vulnerability has been addressed in version 3.29.2. Users are advised to upgrade. There are no known workarounds for this vulnerability.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Tolgee 输入验证错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Tolgee是一个开源的多语言翻译和本地化平台,旨在帮助开发团队轻松管理和维护多语言的软件应用程序和网站。 Tolgee v3.29.1版本及之前版本存在输入验证错误漏洞,该漏洞源于缺乏验证字段Org Name。攻击者利用该漏洞向受害者发送带有 HTML 注入代码的电子邮件。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| tolgee | tolgee-platform | < 3.29.2 | - |
II. CVE-2023-41316の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2023-41316のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じ製品: tolgee-platform
- CVE-2026-32251
Tolgee has an XXE Injection in Translation Import - CVE-2024-52297
Tolgee's configuration all configuration properties leaked i - CVE-2024-32470
Tolgee' API keys created by server admin users bypass the pe - CVE-2024-32466
Tolgee's API key scopes not checked when querying translatio - CVE-2023-38510
Tolgee Lacks Permission Check for API Key for some endpoints
同じベンダー: tolgee
- CVE-2026-32251
Tolgee has an XXE Injection in Translation Import - CVE-2024-52297
Tolgee's configuration all configuration properties leaked i - CVE-2024-32470
Tolgee' API keys created by server admin users bypass the pe - CVE-2024-32466
Tolgee's API key scopes not checked when querying translatio - CVE-2023-38510
Tolgee Lacks Permission Check for API Key for some endpoints
同じ弱点: CWE-79
- CVE-2026-8262
Devs Palace ERP Online chart-save cross site scripting - CVE-2026-8256
Devs Palace ERP Online mr-save cross site scripting - CVE-2026-8255
Devs Palace ERP Online add_new_customer cross site scripting - CVE-2026-8254
Devs Palace ERP Online sales_save cross site scripting - CVE-2026-8253
Devs Palace ERP Online purchase_save cross site scripting
V. CVE-2023-41316へのコメント
まだコメントはありません