PT-2022-7934 · Unknown · Elefant Cms

Tim Coen

·

Publicado

2022-06-20

·

Atualizado

2022-06-28

·

CVE-2017-20061

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Elefant CMS versão 1.3.12-RC
Descrição
Foi encontrada uma falha no software, afetando código desconhecido do arquivo /admin/extended. A manipulação do argumento name com a entrada %3Cimg%20src=no%20onerror=alert(1)%3E leva a um cross-site scripting básico (refletido). O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso.
Recomendações
Para o Elefant CMS versão 1.3.12-RC, atualize para a versão 1.3.13 para resolver este problema. Como solução temporária, considere restringir o acesso ao arquivo /admin/extended até que a atualização seja aplicada. Evite usar o argumento name no arquivo afetado até que o problema seja resolvido.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

CVE-2017-20061
GHSA-HGM9-PWW2-93PC

Produtos afetados

Elefant Cms