PT-2022-25879 · 74Cmsse · 74Cmsse

Xxhzz

·

Publicado

2022-10-17

·

Atualizado

2025-05-14

·

CVE-2022-41472

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
74cmsSE versão 3.12.0
Descrição
A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo Title. Isso é feito através do endpoint da API /api/admin/notice/add.
Recomendações
Para o 74cmsSE versão 3.12.0, considere desativar o acesso ao endpoint da API /api/admin/notice/add até que uma correção esteja disponível para impedir a exploração. Evite usar o campo Title no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2022-41472

Produtos afetados

74Cmsse