PT-2022-20012 · Concrete · Concrete
Bogdan Tiron
·
Publicado
2022-06-24
·
Atualizado
2022-07-05
·
CVE-2022-30120
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 8.5.7 e anteriores
Versões 9.0 a 9.0.2
Descrição
O problema está relacionado à sanitização insuficiente na geração de URLs, o que pode ser explorado para ataques XSS ao usar um navegador mais antigo com a proteção XSS integrada desativada. Isso não pode ser explorado em navegadores modernos devido a um mecanismo automático de escape de entrada. O endpoint da API “/dashboard/blocks/stacks/view details/” está afetado.
Recomendações
Para as versões 8.5.7 e anteriores do Concrete, atualize para uma versão superior à 8.5.7 para resolver o problema.
Para as versões 9.0 a 9.0.2 do Concrete, atualize para uma versão superior à 9.0.2 para resolver o problema.
Como solução temporária, considere desativar o uso do endpoint “/dashboard/blocks/stacks/view details/” em navegadores mais antigos até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Concrete