PT-2022-23993 · Silverstripe · Silverstripe/Framework
Tf1T
·
Publicado
2022-11-21
·
Atualizado
2025-04-25
·
CVE-2022-37429
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Silverstripe silverstripe/framework até a versão 4.11
Descrição
A vulnerabilidade permite um ataque XSS por meio de uma carga de JavaScript no atributo href de um link, ao dividir uma URL de JavaScript com caracteres de espaço em branco. Um autor de conteúdo malicioso poderia explorar essa vulnerabilidade adicionando uma carga de JavaScript ao atributo href de um link. Um invasor deve ter acesso ao CMS para explorar essa vulnerabilidade.
Recomendações
Para versões até a 4.11, como solução temporária, considere restringir o acesso ao atributo href dos links para minimizar o risco de exploração. Evite usar o atributo
href em links com URLs de JavaScript até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silverstripe/Framework