XSS vulnerability on asset view

Mautic versions before 3.3.4/4.0.0 are vulnerable to an inline JS XSS attack when viewing Mautic assets by utilizing inline JS in the title and adding a broken image URL as a remote asset. This can only be leveraged by an authenticated user with permission to create or edit assets.

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

Mautic 跨站脚本漏洞

Mautic是一款开源的营销自动化软件。该软件能够监控管理网站、发送电子邮件并管理客户资源。 Mautic 存在跨站脚本漏洞，该漏洞源于 Mautic 通过在标题中使用内联 JS 并添加损坏的图像 URL 作为远程资产来查看 Mautic 资产时容易受到内联 JS XSS 攻击。 这只能由具有创建或编辑资产权限的经过身份验证的用户使用。

N/A

N/A