PT-2024-16525 · Umbraco · Umbraco Cms
Kushkira
·
Publicado
2024-11-03
·
Atualizado
2025-01-22
·
CVE-2024-10761
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Umbraco CMS anteriores à 10.8.8
Versões do Umbraco CMS anteriores à 13.5.3
Versões do Umbraco CMS anteriores à 14.3.2
Versões do Umbraco CMS anteriores à 15.1.2
Descrição
Foi encontrada uma vulnerabilidade no Umbraco CMS, classificada como problemática. O problema afeta uma função desconhecida do arquivo /Umbraco/preview/frame?id{} do componente Dashboard. A manipulação do argumento
culture leva a um ataque de cross-site scripting. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. Usuários autenticados podem explorar essa vulnerabilidade XSS ao visualizar conteúdo em pré-visualização.Recomendações
Atualize para a versão 10.8.8 para resolver este problema.
Atualize para a versão 13.5.3 para resolver este problema.
Atualize para a versão 14.3.2 para resolver este problema.
Atualize para a versão 15.1.2 para resolver este problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint /Umbraco/preview/frame?id{} até que um patch esteja disponível.
Evite usar o argumento
culture no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Code Injection
Improper Neutralization
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Umbraco Cms