PT-2020-14331 · Basercms · Basercms
Aquilao
·
Publicado
2020-10-30
·
Atualizado
2020-11-04
·
CVE-2020-15273
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.0.0 a 4.4.0 do baserCMS
Descrição
A vulnerabilidade afeta vários componentes, incluindo “Editar configurações de feed”, “Editar área de widgets”, “Novo registro de subsite” e “Novo registro de categoria”. Permite a execução arbitrária de JavaScript ao inserir caracteres específicos em determinadas áreas, como a conta que pode acessar a função de upload de arquivos, a lista de categorias, a lista de configurações do subsite, a edição da área de widgets e a lista de feeds na tela de gerenciamento. O vetor de ataque requer que um administrador esteja conectado. O problema foi introduzido na versão 4.0.0 e foi corrigido na versão 4.4.1.
Recomendações
Para as versões 4.0.0 a 4.4.0, atualize para a versão 4.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso aos componentes afetados, como Editar configurações de feed, Editar área de widgets, Novo registro de subsite e Novo registro de categoria, até que a atualização seja aplicada.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Basercms