Описание:

Функция загрузки файлов в qdPM 9.1 не проверяет содержимое информации о вложении, что позволяет удаленным аутентифицированным нарушителям внедрять java-скрипт или произвольный HTML-код. Уязвимый функционал доступен в модулях создания заявки, проекта или задачи.

Как исправить Компенсирующая мера
На текущий момент нет официальных решений от вендора
Использовать WAF, настройка политики CSP
CVSSv3.1 CVSSv2.0
Рейтинг: 5.4/10

Рейтинг: 3.5/10



Дополнительная информация ниже по ссылкам:


Продолжая использование настоящего сайта, вы выражаете своё согласие на обработку ваших персональных данных. Порядок обработки ваших персональных данных, а также реализуемые требования к их защите содержатся в Политике обработки ПДН. В случае несогласия с обработкой ваших персональных данных вы можете отключить сохранение cookie в настройках вашего браузера.

Читать полностью