PT-2022-25579 · Thinkcmf · Thinkcmf
Alediben
·
Publicado
2022-12-01
·
Atualizado
2025-04-24
·
CVE-2022-40849
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
ThinkCMF versão 6.0.7
Descrição
A vulnerabilidade permite que um invasor injete uma carga de XSS persistente na seção “Gerenciamento de apresentação de slides”, executando código JavaScript arbitrário no lado do cliente. Isso poderia ser usado para roubar o token de sessão PHP do administrador, especificamente o
PHPSESSID.Recomendações
Para o ThinkCMF versão 6.0.7, considere desativar a seção Gerenciamento de Apresentações de Slides até que um patch esteja disponível para impedir a injeção de código JavaScript malicioso. Restrinja o acesso a esta seção para minimizar o risco de exploração. Evite usar o recurso Gerenciamento de Apresentações de Slides até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Thinkcmf