PT-2024-17475 · Dedecms · Dedecms

Jiashenghe

·

Publicado

2024-12-04

·

Atualizado

2024-12-10

·

CVE-2024-12183

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
DedeCMS versão 5.7.116
Descrição
Foi encontrada uma vulnerabilidade problemática no DedeCMS, afetando a função RemoveXSS do arquivo /plus/carbuyaction.php no componente HTTP POST Request Handler. Isso leva a ataques de cross-site scripting, que podem ser iniciados remotamente. A exploração foi divulgada publicamente.
Recomendações
Para o DedeCMS versão 5.7.116, como solução temporária, considere desativar a função RemoveXSS até que um patch esteja disponível. Restrinja o acesso ao arquivo /plus/carbuyaction.php para minimizar o risco de exploração. Evite usar o componente HTTP POST Request Handler até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

XSS

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-94

Identificadores relacionados

CVE-2024-12183

Produtos afetados

Dedecms