重要な情報 脆弱性番号:VDB-276274, CVE-2024-8370 脆弱性名称:Grocy 4.2.0以前のSVGファイルアップロードRecipePicturesにおけるForce_Serve_Asによるクロスサイトスクリプティング 脆弱性概要: - 影響範囲:Grocy 4.2.0以前 - 影響コンポーネント:SVGファイルアップロードハンドラ - 影響ファイル:/api/files/recipepictures/ - 影響原因: パラメータを修正し、 値を使用することで、クロスサイトスクリプティング(XSS)をトリガーできる。 - 影響タイプ:CWE-79 - 影響度:完全性(Integrity)への影響 CVSS Meta Tempスコア:3.3 現在のエクスプロイト価格:$0-$5k CTI興味度スコア:10.00 脆弱性の影響: - この脆弱性は公に開示されており、悪用される可能性がある。 - プロジェクトのメンテナは、これを「意味のない」ものであり、「プロジェクトのセキュリティポリシーの下では実質的に無関係な」問題であり、追加の認証が必要であると見なしている。 脆弱性悪用の難易度:容易 攻撃経路:リモートからの悪用 既知のエクスプロイト状況:公開されているエクスプロイトツールが存在する 脆弱性番号:T1059.007 推奨対策:影響を受けたコンポーネントの置き換えを推奨する。 関連リンク 履歴:脆弱性の履歴を表示 差分:脆弱性の差分を表示 関連:この脆弱性に関連するその他の脆弱性を表示 API JSON:APIのJSON形式を取得 API XML:APIのXML形式を取得 追加:脆弱性情報を追加 購入:関連サービスを購入 著作権情報 著作権:1997-2024 vuldb.com, CC BY-NC-SA