CVE-2020-14988

Bloomreach Experience Manager (brXM), versões 4.1.0 a 14.2.2

A vulnerabilidade permite ataques de cross-site scripting (XSS) em vários componentes do software. Especificamente, o XSS é possível por meio do parâmetro loginmessage na página de login, do atributo src de elementos HTML no editor de texto, do parâmetro foldername no menu de traduções, da URL do link na página do autor ou através do upload de um documento SVG contendo JavaScript por meio da funcionalidade de upload de imagens.

Para as versões 4.1.0 a 14.2.2, considere desativar o editor de texto e a funcionalidade de upload de imagens como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso ao menu de traduções e à página do autor para minimizar o risco. Evite usar os parâmetros loginmessage e foldername nos componentes afetados até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.