PT-2021-16902 · Unknown · Apostrophe Cms
Daniel Elkabes
·
Publicado
2021-11-07
·
Atualizado
2021-11-10
·
CVE-2021-25978
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Apostrophe CMS, versões 2.63.0 a 3.3.1
Descrição
A vulnerabilidade permite ataques XSS armazenados quando um editor carrega um arquivo SVG contendo JavaScript malicioso no módulo Imagens. Isso aciona o XSS assim que o arquivo carregado é visualizado.
Recomendações
Para as versões 2.63.0 a 3.3.1 do Apostrophe CMS, considere restringir o upload de arquivos SVG para o módulo Imagens até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o módulo Imagens para visualizar arquivos SVG enviados.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apostrophe Cms