漏洞标题
将HTML作为Nextcloud Deck应用中的评论时,存在跨站脚本(Cross-site Scripting,XSS)漏洞。
漏洞描述信息
Deck是Nextcloud集成的个人计划和团队项目组织的看板风格组织工具。受影响的版本中,用户可能被诱骗执行恶意代码,该代码通过作为评论发送的HTML在他们的浏览器中执行。建议将Nextcloud Deck升级到1.9.5或1.11.2版本。目前尚无针对此漏洞的已知解决方案。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Cross-site Scripting when sending HTML as a comment in the Nextcloud Deck app
漏洞描述信息
Deck is a kanban style organization tool aimed at personal planning and project organization for teams integrated with Nextcloud. In affected versions users could be tricked into executing malicious code that would execute in their browser via HTML sent as a comment. It is recommended that the Nextcloud Deck is upgraded to version 1.9.5 or 1.11.2. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Nextcloud 安全漏洞
漏洞描述信息
Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。 Nextcloud 存在安全漏洞,该漏洞源于存在跨站脚本(XSS)漏洞。受影响的产品和版本:Deck 1.9.0及更高版本,1.10.0及更高版本。
CVSS信息
N/A
漏洞类别
其他