PT-2021-20054 · Plone Cms · Plone Cms
Tino Kautschke
·
Publicado
2021-05-20
·
Atualizado
2022-05-24
·
CVE-2021-3313
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do CMS Plone anteriores à 5.2.4
Descrição
O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na propriedade fullname do usuário e na funcionalidade de upload de arquivos. Os dados inseridos pelo usuário não são codificados adequadamente ao serem exibidos de volta ao usuário, permitindo que um invasor execute JavaScript no contexto do navegador da vítima caso ela abra uma página vulnerável contendo uma carga XSS.
Recomendações
Para versões do Plone CMS anteriores à 5.2.4, atualize para a versão 5.2.4 ou posterior para resolver o problema. Como solução temporária, considere restringir os dados de entrada do usuário para minimizar o risco de exploração. Evite usar a funcionalidade de upload de arquivos e a propriedade fullname do usuário até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Plone Cms