漏洞标题
N/A
漏洞描述信息
在2.1.27.9之前,TeamPass中存在多个存储的跨站点脚本(XSS)漏洞,允许经过验证的远程攻击者通过(1)物品的URL值或(2)用户日志历史来 inject任意的网页脚本或HTML。要利用此漏洞,攻击者必须先通过应用程序进行身份验证。对于第一个漏洞,攻击者只需在共享物品的URL字段中注入XSS代码即可。而对于第二个漏洞,攻击者必须在其用户配置文件中准备一个负载,然后请管理员修改其配置文件。从那时起,每当管理员访问日志时,它都可以被XSS攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple stored cross-site scripting (XSS) vulnerabilities in TeamPass before 2.1.27.9 allow authenticated remote attackers to inject arbitrary web script or HTML via the (1) URL value of an item or (2) user log history. To exploit the vulnerability, the attacker must be first authenticated to the application. For the first one, the attacker has to simply inject XSS code within the URL field of a shared item. For the second one however, the attacker must prepare a payload within its profile, and then ask an administrator to modify its profile. From there, whenever the administrator accesses the log, it can be XSS'ed.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
TeamPass 跨站脚本漏洞
漏洞描述信息
TeamPass是一款专用于Apache、MySQL和PHP中的密码管理器。 TeamPass 2.1.27.9之前的版本中存在多个跨站脚本漏洞。远程攻击者可借助项目的URL值或用户日志历史记录利用该漏洞注入任意的Web脚本或HTML。
CVSS信息
N/A
漏洞类别
跨站脚本