CVE-2021-28088

描述

Cross-site scripting (XSS) in modules/content/admin/content.php in ImpressCMS profile 1.4.2 allows remote attackers to inject arbitrary web script or HTML parameters through the "Display Name" field.

如何修補 CVE-2021-28088

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

• Packagist/impresscms/impresscms—未列出修補版本

CVE-2021-28088 正在被利用嗎?

低 — EPSS 為 0.2%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, <= 1.4.2

參考連結(3)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2021-28088
• WEBanotepad.com/note/read/s3kkk6h7
• WEBhackerone.com/reports/1119296