CVE-2021-44122

SPIP versão 4.0.0

O problema está relacionado a uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF) em arquivos como ecrire/public/aiguiller.php, ecrire/public/balises.php e ecrire/balise/formulaire .php. Para explorar essa vulnerabilidade, um visitante deve primeiro acessar um site malicioso que redirecione para o site do SPIP. Além disso, é possível combinar isso com vulnerabilidades XSS no SPIP 4.0.0 para conseguir a exploração. Isso permite que um invasor autenticado execute código malicioso no site sem o conhecimento do usuário.

Para a versão 4.0.0 do SPIP, considere desativar o acesso aos arquivos vulneráveis ecrire/public/aiguiller.php, ecrire/public/balises.php e ecrire/balise/formulaire .php até que uma correção esteja disponível. Restringir o uso desses arquivos pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.