漏洞概述
标识符: CVE-2020-15885 / GHSA-vc4f-2g7f-pmqr
严重等级: 中等 (CVSS 分数 5.4)
影响组件: MunkiReport 的 comment 模块 (Composer 包: munkireport/comment)
受影响版本: 低于 4.0 的版本
已修复版本: 4.0
漏洞详情
该漏洞是一个跨站脚本(XSS) 漏洞,存在于 MunkiReport 的评论模块中。在版本 4.0 之前,远程攻击者能够通过提交新的评论来注入任意的 Web 脚本或 HTML 代码。
技术分析
- 弱点类型: CWE-79 - 网页生成期间对输入的不当中和(‘跨站脚本’)。具体表现为,产品在将用户可控的输入放入输出并作为网页提供给其他用户之前,未能正确或完全中和这些输入。
- CVSS v3.1 向量:
AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N- 攻击途径(AV): 网络
- 攻击复杂度(AC): 低
- 所需权限(PR): 低
- 用户交互(UI): 需要
- 影响范围(S): 已改变
- 机密性影响(C): 低
- 完整性影响(I): 低
- 可用性影响(A): 无
参考链接
- NVD 漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2020-15885
- comment 模块发布页面: https://github.com/munkireport/comment/releases
- MunkiReport-PHP 主仓库: https://github.com/munkireport/munkireport-php
- MunkiReport v5.6.3 发布页面(包含修复): https://github.com/munkireport/munkireport-php/releases/tag/v5.6.3
- 漏洞技术 Wiki: https://github.com/munkireport/munkireport-php/wiki/20200722--XSS-Filter-Bypass-On-Comments
- 相关代码提交: munkireport/comment@ee4c1cd
时间线
- 国家漏洞数据库(NVD)发布日期: 2020年7月23日
- GitHub 安全通告数据库发布日期: 2022年5月24日
- GitHub 审核日期: 2023年11月15日
- 最后更新日期: 2025年11月19日
其他信息
- 漏洞发现贡献者:
MarkLee131,coffeemakr - EPSS 分数: 0.27% (第50百分位),表示未来30天内被利用的概率估计值较低。