PT-2022-19097 · Fuel Cms · Fuel Cms
Gidunparo
·
Publicado
2022-05-03
·
Atualizado
2022-05-10
·
CVE-2022-28599
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
FUEL-CMS versão 1.5.1
Descrição
Existe uma vulnerabilidade de script entre sites (XSS) armazenada que permite que um usuário autenticado faça o upload de um arquivo .pdf malicioso, que atua como uma carga útil de XSS armazenada. Se essa carga útil for acionada por um administrador, ela desencadeará um ataque XSS.
Recomendações
Para o FUEL-CMS versão 1.5.1, considere restringir o upload de arquivos .pdf ou implementar uma validação para impedir que arquivos maliciosos sejam enviados até que uma correção esteja disponível. Como solução temporária, limite o acesso do administrador às áreas onde a carga de XSS armazenada possa ser acionada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fuel Cms