漏洞详情
包名: composer munkireport/comment (Composer)
受影响版本: < 4.0
已修复版本: 4.0
漏洞描述
MunkiReport评论模块在4.0版本之前存在跨站脚本(XSS)漏洞,远程攻击者可通过发布新评论注入任意Web脚本或HTML代码。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2020-15885
- https://github.com/munkireport/comment/releases
- https://github.com/munkireport/munkireport-php
- https://github.com/munkireport/munkireport-php/releases/tag/v5.6.3
- https://github.com/munkireport/munkireport-php/wiki/20200722--XSS-Filter-Bypass-On-Comments
- munkireport/comment@ee4c1cd
发布时间
- 国家漏洞数据库: 2020年7月23日
- GitHub咨询数据库: 2022年5月24日
- 最后更新: 2025年11月19日
严重程度
中等 - CVSS评分: 5.4/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 需要
- 范围: 已改变
- 机密性: 低
- 完整性: 低
- 可用性: 无
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
弱点分类
CWE-79: 在网页生成过程中对输入的不当中和(跨站脚本)
产品在将用户可控的输入放置到提供给其他用户的网页输出之前,未能正确中和或错误地中和这些输入。
标识符
- CVE ID: CVE-2020-15885
- GHSA ID: GHSA-vc4f-2g7f-pmqr
源代码
munkireport/comment
致谢
- MarkLee131 (分析师)
- coffeemakr (分析师)