PT-2020-7569 · Plone · Plone
Matthew Wilkes
·
Publicado
2020-01-02
·
Atualizado
2022-05-05
·
CVE-2013-7062
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
**Nome do software vulnerável e versões afetadas:
Versões do Plone 3.3.x a 3.3.6
Versões do Plone 4.0.x a 4.0.9
Versões do Plone 4.1.x a 4.1.6
Versões do Plone 4.2.x a 4.2.7
Versões do Plone 4.3 a 4.3.2
Descrição:
A vulnerabilidade permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio de entradas não especificadas no método (1) browser id manager ou (2) OFS.Image. Isso pode ser explorado para realizar ataques de cross-site scripting (XSS).
Recomendações:
Para as versões do Plone 3.3.x a 3.3.6, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Plone 4.0.x a 4.0.9, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Plone 4.1.x a 4.1.6, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Plone 4.2.x a 4.2.7, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Plone 4.3 a 4.3.2, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução temporária, considere restringir o acesso ao browser id manager e ao método OFS.Image até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Plone