CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-13645
https://notcve.org/view.php?id=CVE-2019-13645
Firefly III before 4.7.17.3 is vulnerable to stored XSS due to lack of filtration of user-supplied data in image file names. The JavaScript code is executed during attachments/edit/$file_id$ attachment editing. NOTE: It is asserted that an attacker must have the same access rights as the user in order to be able to execute the vulnerability ** EN DISPUTA ** Firefly III anterior a versión 4.7.17.3, es vulnerable a un problema de tipo XSS almacenado debido a la falta de filtrado de los datos suministrados por el usuario en los nombres de archivos de imagen. El código JavaScript se ejecuta durante la edición de adjuntos del archivo attachments/edit/$file_id$. NOTA: Se afirma que un atacante debe tener los mismos derechos de acceso que el usuario para poder ejecutar la vulnerabilidad • https://github.com/firefly-iii/firefly-iii/compare/a70b7cc...7d482aa https://github.com/firefly-iii/firefly-iii/issues/2337 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-13644
https://notcve.org/view.php?id=CVE-2019-13644
Firefly III before 4.7.17.1 is vulnerable to stored XSS due to lack of filtration of user-supplied data in a budget name. The JavaScript code is contained in a transaction, and is executed on the tags/show/$tag_number$ tag summary page. NOTE: It is asserted that an attacker must have the same access rights as the user in order to be able to execute the vulnerability ** EN DISPUTA ** Firefly III anterior a versión 4.7.17.1, es vulnerable a XSS almacenado debido a la falta de filtrado de los datos suministrados por el usuario en un nombre budget. El código de JavaScript está contenido en una transacción y se ejecuta en la página de resumen de etiqueta del archivo tags/show/$tag_number$ tag. NOTA: Se afirma que un atacante debe tener los mismos derechos de acceso que el usuario para poder ejecutar la vulnerabilidad • https://github.com/firefly-iii/firefly-iii/compare/76aa8ac...45b8c36 https://github.com/firefly-iii/firefly-iii/issues/2335 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •