Vulnerability Details CVE-2021-42112
The "File upload question" functionality in LimeSurvey 3.x-LTS through 3.27.18 allows XSS in assets/scripts/modaldialog.js and assets/scripts/uploader.js.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.006
EPSS Ranking 67.8%
CVSS Severity
CVSS v3 Score 6.1
CVSS v2 Score 4.3
References
- https://bugs.limesurvey.org/view.php?id=17562
- https://github.com/LimeSurvey/LimeSurvey/commit/d56619a50cfd191bbffd0adb660638a5e438070d
- https://www.on-x.com/sites/default/files/on-x_-_security_advisory_-_limesurvey_-_cve-2021-42112.pdf
- https://bugs.limesurvey.org/view.php?id=17562
- https://github.com/LimeSurvey/LimeSurvey/commit/d56619a50cfd191bbffd0adb660638a5e438070d
- https://www.on-x.com/sites/default/files/on-x_-_security_advisory_-_limesurvey_-_cve-2021-42112.pdf
Products affected by CVE-2021-42112
-
cpe:2.3:a:limesurvey:limesurvey:3.0.0
-
cpe:2.3:a:limesurvey:limesurvey:3.0.1
-
cpe:2.3:a:limesurvey:limesurvey:3.0.2
-
cpe:2.3:a:limesurvey:limesurvey:3.0.3
-
cpe:2.3:a:limesurvey:limesurvey:3.0.4
-
cpe:2.3:a:limesurvey:limesurvey:3.0.5
-
cpe:2.3:a:limesurvey:limesurvey:3.1.0
-
cpe:2.3:a:limesurvey:limesurvey:3.1.1
-
cpe:2.3:a:limesurvey:limesurvey:3.14.10
-
cpe:2.3:a:limesurvey:limesurvey:3.14.11
-
cpe:2.3:a:limesurvey:limesurvey:3.14.3
-
cpe:2.3:a:limesurvey:limesurvey:3.14.4
-
cpe:2.3:a:limesurvey:limesurvey:3.14.5
-
cpe:2.3:a:limesurvey:limesurvey:3.14.6
-
cpe:2.3:a:limesurvey:limesurvey:3.14.7
-
cpe:2.3:a:limesurvey:limesurvey:3.14.8
-
cpe:2.3:a:limesurvey:limesurvey:3.14.9
-
cpe:2.3:a:limesurvey:limesurvey:3.15.0
-
cpe:2.3:a:limesurvey:limesurvey:3.15.1
-
cpe:2.3:a:limesurvey:limesurvey:3.15.2
-
cpe:2.3:a:limesurvey:limesurvey:3.15.3
-
cpe:2.3:a:limesurvey:limesurvey:3.15.4
-
cpe:2.3:a:limesurvey:limesurvey:3.15.5
-
cpe:2.3:a:limesurvey:limesurvey:3.15.6
-
cpe:2.3:a:limesurvey:limesurvey:3.15.7
-
cpe:2.3:a:limesurvey:limesurvey:3.15.8
-
cpe:2.3:a:limesurvey:limesurvey:3.15.9
-
cpe:2.3:a:limesurvey:limesurvey:3.16.0
-
cpe:2.3:a:limesurvey:limesurvey:3.16.1
-
cpe:2.3:a:limesurvey:limesurvey:3.16.1+190225
-
cpe:2.3:a:limesurvey:limesurvey:3.17.0
-
cpe:2.3:a:limesurvey:limesurvey:3.17.1
-
cpe:2.3:a:limesurvey:limesurvey:3.17.10
-
cpe:2.3:a:limesurvey:limesurvey:3.17.11
-
cpe:2.3:a:limesurvey:limesurvey:3.17.12
-
cpe:2.3:a:limesurvey:limesurvey:3.17.13
-
cpe:2.3:a:limesurvey:limesurvey:3.17.14
-
cpe:2.3:a:limesurvey:limesurvey:3.17.15
-
cpe:2.3:a:limesurvey:limesurvey:3.17.16
-
cpe:2.3:a:limesurvey:limesurvey:3.17.17
-
cpe:2.3:a:limesurvey:limesurvey:3.17.3
-
cpe:2.3:a:limesurvey:limesurvey:3.17.4
-
cpe:2.3:a:limesurvey:limesurvey:3.17.5
-
cpe:2.3:a:limesurvey:limesurvey:3.17.6
-
cpe:2.3:a:limesurvey:limesurvey:3.17.7
-
cpe:2.3:a:limesurvey:limesurvey:3.17.7+190627
-
cpe:2.3:a:limesurvey:limesurvey:3.17.8
-
cpe:2.3:a:limesurvey:limesurvey:3.17.9
-
cpe:2.3:a:limesurvey:limesurvey:3.18.0
-
cpe:2.3:a:limesurvey:limesurvey:3.19.0
-
cpe:2.3:a:limesurvey:limesurvey:3.19.1
-
cpe:2.3:a:limesurvey:limesurvey:3.19.2
-
cpe:2.3:a:limesurvey:limesurvey:3.19.3
-
cpe:2.3:a:limesurvey:limesurvey:3.2.0
-
cpe:2.3:a:limesurvey:limesurvey:3.2.1
-
cpe:2.3:a:limesurvey:limesurvey:3.20.0
-
cpe:2.3:a:limesurvey:limesurvey:3.20.2
-
cpe:2.3:a:limesurvey:limesurvey:3.21.0
-
cpe:2.3:a:limesurvey:limesurvey:3.21.1
-
cpe:2.3:a:limesurvey:limesurvey:3.21.2
-
cpe:2.3:a:limesurvey:limesurvey:3.21.3
-
cpe:2.3:a:limesurvey:limesurvey:3.21.4
-
cpe:2.3:a:limesurvey:limesurvey:3.21.5
-
cpe:2.3:a:limesurvey:limesurvey:3.21.6
-
cpe:2.3:a:limesurvey:limesurvey:3.22.0
-
cpe:2.3:a:limesurvey:limesurvey:3.22.1
-
cpe:2.3:a:limesurvey:limesurvey:3.22.10
-
cpe:2.3:a:limesurvey:limesurvey:3.22.11
-
cpe:2.3:a:limesurvey:limesurvey:3.22.12
-
cpe:2.3:a:limesurvey:limesurvey:3.22.13
-
cpe:2.3:a:limesurvey:limesurvey:3.22.14
-
cpe:2.3:a:limesurvey:limesurvey:3.22.15
-
cpe:2.3:a:limesurvey:limesurvey:3.22.16
-
cpe:2.3:a:limesurvey:limesurvey:3.22.17
-
cpe:2.3:a:limesurvey:limesurvey:3.22.18
-
cpe:2.3:a:limesurvey:limesurvey:3.22.19
-
cpe:2.3:a:limesurvey:limesurvey:3.22.2
-
cpe:2.3:a:limesurvey:limesurvey:3.22.20
-
cpe:2.3:a:limesurvey:limesurvey:3.22.21
-
cpe:2.3:a:limesurvey:limesurvey:3.22.210
-
cpe:2.3:a:limesurvey:limesurvey:3.22.24
-
cpe:2.3:a:limesurvey:limesurvey:3.22.25
-
cpe:2.3:a:limesurvey:limesurvey:3.22.26
-
cpe:2.3:a:limesurvey:limesurvey:3.22.27
-
cpe:2.3:a:limesurvey:limesurvey:3.22.28
-
cpe:2.3:a:limesurvey:limesurvey:3.22.29
-
cpe:2.3:a:limesurvey:limesurvey:3.22.3
-
cpe:2.3:a:limesurvey:limesurvey:3.22.4
-
cpe:2.3:a:limesurvey:limesurvey:3.22.5
-
cpe:2.3:a:limesurvey:limesurvey:3.22.6
-
cpe:2.3:a:limesurvey:limesurvey:3.22.7
-
cpe:2.3:a:limesurvey:limesurvey:3.22.8
-
cpe:2.3:a:limesurvey:limesurvey:3.22.9
-
cpe:2.3:a:limesurvey:limesurvey:3.23.0
-
cpe:2.3:a:limesurvey:limesurvey:3.23.1
-
cpe:2.3:a:limesurvey:limesurvey:3.23.2
-
cpe:2.3:a:limesurvey:limesurvey:3.23.22
-
cpe:2.3:a:limesurvey:limesurvey:3.23.3
-
cpe:2.3:a:limesurvey:limesurvey:3.23.32
-
cpe:2.3:a:limesurvey:limesurvey:3.23.4
-
cpe:2.3:a:limesurvey:limesurvey:3.23.5
-
cpe:2.3:a:limesurvey:limesurvey:3.23.6
-
cpe:2.3:a:limesurvey:limesurvey:3.23.7
-
cpe:2.3:a:limesurvey:limesurvey:3.24.0
-
cpe:2.3:a:limesurvey:limesurvey:3.24.1
-
cpe:2.3:a:limesurvey:limesurvey:3.24.2
-
cpe:2.3:a:limesurvey:limesurvey:3.24.3
-
cpe:2.3:a:limesurvey:limesurvey:3.24.4
-
cpe:2.3:a:limesurvey:limesurvey:3.24.5
-
cpe:2.3:a:limesurvey:limesurvey:3.24.6
-
cpe:2.3:a:limesurvey:limesurvey:3.25.0
-
cpe:2.3:a:limesurvey:limesurvey:3.25.1
-
cpe:2.3:a:limesurvey:limesurvey:3.25.10
-
cpe:2.3:a:limesurvey:limesurvey:3.25.11
-
cpe:2.3:a:limesurvey:limesurvey:3.25.12
-
cpe:2.3:a:limesurvey:limesurvey:3.25.13
-
cpe:2.3:a:limesurvey:limesurvey:3.25.14
-
cpe:2.3:a:limesurvey:limesurvey:3.25.15
-
cpe:2.3:a:limesurvey:limesurvey:3.25.16
-
cpe:2.3:a:limesurvey:limesurvey:3.25.17
-
cpe:2.3:a:limesurvey:limesurvey:3.25.18
-
cpe:2.3:a:limesurvey:limesurvey:3.25.19
-
cpe:2.3:a:limesurvey:limesurvey:3.25.2
-
cpe:2.3:a:limesurvey:limesurvey:3.25.20
-
cpe:2.3:a:limesurvey:limesurvey:3.25.21
-
cpe:2.3:a:limesurvey:limesurvey:3.25.22
-
cpe:2.3:a:limesurvey:limesurvey:3.25.3
-
cpe:2.3:a:limesurvey:limesurvey:3.25.4
-
cpe:2.3:a:limesurvey:limesurvey:3.25.5
-
cpe:2.3:a:limesurvey:limesurvey:3.25.6
-
cpe:2.3:a:limesurvey:limesurvey:3.25.7
-
cpe:2.3:a:limesurvey:limesurvey:3.25.8
-
cpe:2.3:a:limesurvey:limesurvey:3.25.9
-
cpe:2.3:a:limesurvey:limesurvey:3.26.0
-
cpe:2.3:a:limesurvey:limesurvey:3.26.1
-
cpe:2.3:a:limesurvey:limesurvey:3.26.2
-
cpe:2.3:a:limesurvey:limesurvey:3.26.3
-
cpe:2.3:a:limesurvey:limesurvey:3.26.4
-
cpe:2.3:a:limesurvey:limesurvey:3.26.5
-
cpe:2.3:a:limesurvey:limesurvey:3.27.0
-
cpe:2.3:a:limesurvey:limesurvey:3.27.1
-
cpe:2.3:a:limesurvey:limesurvey:3.27.10
-
cpe:2.3:a:limesurvey:limesurvey:3.27.11
-
cpe:2.3:a:limesurvey:limesurvey:3.27.12
-
cpe:2.3:a:limesurvey:limesurvey:3.27.13
-
cpe:2.3:a:limesurvey:limesurvey:3.27.14
-
cpe:2.3:a:limesurvey:limesurvey:3.27.16
-
cpe:2.3:a:limesurvey:limesurvey:3.27.17
-
cpe:2.3:a:limesurvey:limesurvey:3.27.18
-
cpe:2.3:a:limesurvey:limesurvey:3.27.2
-
cpe:2.3:a:limesurvey:limesurvey:3.27.3
-
cpe:2.3:a:limesurvey:limesurvey:3.27.4
-
cpe:2.3:a:limesurvey:limesurvey:3.27.5
-
cpe:2.3:a:limesurvey:limesurvey:3.27.6
-
cpe:2.3:a:limesurvey:limesurvey:3.27.7
-
cpe:2.3:a:limesurvey:limesurvey:3.27.8
-
cpe:2.3:a:limesurvey:limesurvey:3.27.9
-
cpe:2.3:a:limesurvey:limesurvey:3.4.2
-
cpe:2.3:a:limesurvey:limesurvey:3.6.2