PT-2020-12483 · Wagtail · Wagtail
Vlad Gerasimenko
·
Publicado
2020-04-14
·
Atualizado
2024-11-19
·
CVE-2020-11001
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Wagtail anteriores à 2.7.2 e anteriores à 2.8.1
Descrição
Existe uma vulnerabilidade de script entre sites (XSS) na visualização de comparação de revisões de página dentro da interface de administração do Wagtail. Um usuário com uma conta de editor de permissões limitadas para o administrador do Wagtail poderia potencialmente criar um histórico de revisões de página que, quando visualizado por um usuário com privilégios superiores, poderia realizar ações com as credenciais desse usuário. A vulnerabilidade não pode ser explorada por um visitante comum do site sem acesso ao administrador do Wagtail.
Recomendações
Para versões anteriores à 2.7.2, atualize para o Wagtail 2.7.2.
Para versões anteriores à 2.8.1, atualize para o Wagtail 2.8.1.
Como solução temporária, os proprietários de sites que não puderem atualizar para as novas versões podem desativar a visualização de comparação de revisões adicionando uma rota de URL no topo do arquivo de configuração
urls.py do projeto para redirecionar a visualização de comparação de revisões para o painel de administração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wagtail