PT-2022-24544 · Silverstripe · Silverstripe/Framework+2
Steve Boyd
·
Publicado
2022-11-21
·
Atualizado
2025-04-29
·
CVE-2022-38724
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Silverstripe silverstripe/framework versões 4.11.0 e anteriores
Silverstripe silverstripe/assets versões 1.11.0 e anteriores
Silverstripe silverstripe/asset-admin versões 1.11.0 e anteriores
Descrição
A vulnerabilidade permite ataques de cross-site scripting (XSS). Um autor de conteúdo malicioso poderia adicionar atributos arbitrários aos shortcodes do editor HTML, potencialmente injetando uma carga de JavaScript no front-end do site. Os provedores de shortcodes fornecidos com o Silverstripe CMS foram revisados, e listas de atributos permitidos foram implementadas onde necessário para mitigar esse risco.
Recomendações
Para as versões 4.11.0 e anteriores do silverstripe/framework, atualize para uma versão que inclua as listas de atributos permitidos para provedores de códigos de atalho.
Para as versões 1.11.0 e anteriores do silverstripe/assets, atualize para uma versão que inclua as listas de atributos permitidos para provedores de códigos de atalho.
Para as versões 1.11.0 e anteriores do silverstripe/asset-admin, atualize para uma versão que inclua as listas de atributos permitidos para provedores de shortcodes.
Como solução temporária, considere restringir a capacidade de adicionar atributos arbitrários aos shortcodes do editor HTML até que um patch esteja disponível.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silverstripe Asset-Admin
Silverstripe/Assets
Silverstripe/Framework