Page 2 of 7 results (0.007 seconds)

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

An issue was discovered in Netdata 1.10.0. Full Path Disclosure (FPD) exists via api/v1/alarms. NOTE: the vendor says "is intentional. ** EN DISPUTA** Se descubrió un problema en Netdata 1.10.0. La divulgación de ruta completa (FPD) existe a través de api / v1 / alarms. NOTA: el fabricante dice "es intencional". • https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_fpd.txt • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.1EPSS: 1%CPEs: 1EXPL: 2

The Netdata web application through 1.13.0 allows remote attackers to inject their own malicious HTML code into an imported snapshot, aka HTML Injection. Successful exploitation will allow attacker-supplied HTML to run in the context of the affected browser, potentially allowing the attacker to steal authentication credentials or to control how the site is rendered to the user. NOTE: the vendor disputes the risk because there is a clear warning next to the button for importing a snapshot ** EN DISPUTA ** La aplicación web Netdata, hasta la versión 1.13.0, permite que los atacantes remotos inyecten su propio código HTML en una instantánea importada. Esto también se conoce como inyección HTML. Su explotación con éxito permite que se ejecute HTML proporcionado por el atacante en el contexto del navegador afectado, pudiendo permitir al atacante robar las credenciales de autenticación o controlar cómo se renderiza el sitio al usuario. • https://www.exploit-db.com/exploits/46545 https://github.com/netdata/netdata/issues/5800#issuecomment-510986112 https://www.youtube.com/watch?v=zSG93yX0B8k • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •