CVE-2020-29250

CXUUCMS versão V3

A vulnerabilidade permite ataques XSS através do primeiro e do terceiro campos de entrada da URL “/public/admin.php”. Isso significa que um invasor pode injetar scripts maliciosos no site, podendo roubar dados do usuário ou assumir o controle da sessão do usuário. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem o endpoint da API “/public/admin.php” e os campos de entrada vulneráveis.

Para a versão V3 do CXUUCMS, como solução temporária, considere restringir o acesso ao endpoint “/public/admin.php” até que um patch esteja disponível. Evite usar o primeiro e o terceiro campos de entrada no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.