CVE-2020-17451

Versões do flatCore anteriores à 1.5.7

A vulnerabilidade permite um ataque XSS por parte de um administrador através de parâmetros específicos no endpoint “acp/acp.php”, incluindo page linkname, page title, page content ou page extracontent ao editar uma página, ou prefs pagename, prefs pagetitle ou prefs pagesubtitle ao definir preferências do sistema.

Para versões anteriores à 1.5.7, atualize para a versão 1.5.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “acp/acp.php”, especificamente às seções tn=pages&sub=edit e tn=system&sub=sys pref, para minimizar o risco de exploração. Evite usar os parâmetros vulneráveis page linkname, page title, page content, page extracontent, prefs pagename, prefs pagetitle ou prefs pagesubtitle no endpoint da API afetado até que o problema seja resolvido.