PT-2022-20010 · Microsoft · Internet Explorer
Zeroinside
·
Publicado
2022-06-24
·
Atualizado
2022-07-05
·
CVE-2022-30119
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Concrete CMS versões 8.5.7 e anteriores
Concrete CMS versões 9.0 a 9.0.2
Descrição
O problema está relacionado à sanitização insuficiente de URLs geradas no endpoint /dashboard/reports/logs/view, o que pode ser explorado para ataques XSS. Isso só pode ser explorado ao usar navegadores antigos, como o Internet Explorer com a proteção contra XSS desativada, devido à falta de mecanismos automáticos de escape de entrada nesses navegadores.
Recomendações
Para as versões 8.5.7 e anteriores do Concrete CMS, atualize para uma versão superior à 8.5.7 para resolver o problema.
Para as versões 9.0 a 9.0.2 do Concrete CMS, atualize para uma versão superior à 9.0.2 para resolver o problema.
Como solução temporária, considere desativar o uso do endpoint /dashboard/reports/logs/view em navegadores antigos até que um patch esteja disponível.
Restrinja o acesso ao endpoint /dashboard/reports/logs/view para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Internet Explorer