CVE-2020-5298

Versões do OctoberCMS de 1.0.319 a 1.0.465

Um usuário com permissão para utilizar a funcionalidade de importação do comportamento ImportExportController pode ser alvo de engenharia social por parte de um invasor para fazer o upload de um arquivo CSV criado com intenção maliciosa, o que poderia resultar em um ataque XSS refletido contra o usuário em questão.

Para as versões 1.0.319 a 1.0.465, atualize para a Build 466 (v1.0.466) para resolver o problema.

Como solução alternativa temporária, aplique manualmente o patch disponível em https://github.com/octobercms/october/commit/cd0b6a791f995d86071a024464c1702efc50f46c à sua instalação, caso não seja possível atualizar para a Build 466.