Zeroinside

**Nome do software vulnerável e versões afetadas** Concrete CMS versões 8.5.7 e anteriores Concrete CMS versões 9.0 a 9.0.2 **Descrição** A vulnerabilidade permite XSS ao editar um controle de formulário em um formulário de entidades expressas usando o Internet Explorer com a proteção contra XSS desativada. Isso não pode ser explorado em navegadores modernos devido aos mecanismos automáticos de escape de entrada. O número estimado de dispositivos potencialmente afetados não foi fornecido. **Recomendações** Para as versões 8.5.7 e anteriores do Concrete CMS, atualize para uma versão superior à 8.5.7 para resolver o problema. Para as versões 9.0 a 9.0.2 do Concrete CMS, atualize para uma versão superior à 9.0.2 para resolver o problema. Como solução temporária, considere desativar o uso do Internet Explorer ou ativar a proteção contra XSS até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Concrete CMS versões 8.5.7 e anteriores Concrete CMS versões 9.0 a 9.0.2 **Descrição** O problema está relacionado à sanitização insuficiente de URLs geradas no endpoint /dashboard/reports/logs/view, o que pode ser explorado para ataques XSS. Isso só pode ser explorado ao usar navegadores antigos, como o Internet Explorer com a proteção contra XSS desativada, devido à falta de mecanismos automáticos de escape de entrada nesses navegadores. **Recomendações** Para as versões 8.5.7 e anteriores do Concrete CMS, atualize para uma versão superior à 8.5.7 para resolver o problema. Para as versões 9.0 a 9.0.2 do Concrete CMS, atualize para uma versão superior à 9.0.2 para resolver o problema. Como solução temporária, considere desativar o uso do endpoint /dashboard/reports/logs/view em navegadores antigos até que um patch esteja disponível. Restrinja o acesso ao endpoint /dashboard/reports/logs/view para minimizar o risco de exploração.