Injecció indirecta de scripts a CMS Concret
16/09/2024
CVE-2024-4350
MITJÀ (6,5)
CVSS3: 6,2
Concrete CMS és vulnerable a les injeccions indirectes de scripts, causades per una validació incorrecta de l’entrada proporcionada per l’usuari per RSS Displayer. Un atacant remot podria explotar aquesta vulnerabilitat per injectar un script maliciós en una pàgina web que s’executaria al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.
Sistemes Afectats
- Concrete CMS Concrete CMS 9.0.0
- Concrete CMS Concrete CMS 9.3.2
Remediació
Actualitzeu a la darrera versió de Concrete CMS, disponible al Repositori GIT de Concrete CMS. Vegeu-ne les Referències.
Referències
- https://github.com/concretecms/concretecms/pull/12166
- https://github.com/concretecms/concretecms/commit/c08d9671cec4e7afdabb547339c4bc0bed8eab06
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/933-release-notes?pk_vid=e367a434ef4830491723060415d52041
- https://documentation.concretecms.org/developers/introduction/version-history/8518-release-notes?pk_vid=e367a434ef4830491723055758d52041
