CVE-2021-36454

Naviwebs Navigate CMS versão 2.9

O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS). Ela afeta vários arquivos PHP dentro do Naviwebs Navigate Cms, incluindo backupsbackups.php, blocksblocks.php, brandsbrands.php, commentscomments.php, couponscoupons.php, feedsfeeds.php, functionsfunctions.php, itemsitems.php, menusmenus.php, ordersorders.php, payment methodspayment methods.php, productsproducts.php, profilesprofiles.php, shipping methodsshipping methods.php, templatestemplates.php, usersusers.php, webdictionarywebdictionary.php, websiteswebsites.php e webuserswebusers.php. A vulnerabilidade é explorada por meio do parâmetro navigate-quickse. A função initial url, incorporada a esses arquivos, está envolvida na vulnerabilidade.

Para o Naviwebs Navigate Cms versão 2.9, considere desativar a função initial url como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos arquivos PHP afetados para minimizar o risco de exploração. Evite usar o parâmetro navigate-quickse nos pontos de extremidade da API afetados até que o problema seja resolvido.