PT-2024-20036 · Ghost · Ghost
Joeldesante
·
Publicado
2024-01-20
·
Atualizado
2026-02-18
·
CVE-2024-23725
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ghost anteriores à 5.76.0
Descrição
A vulnerabilidade permite a execução de scripts entre sites (XSS) por meio de um trecho de postagem no arquivo excerpt.js, onde uma carga de XSS pode ser renderizada nos resumos das postagens. Houve relatos de aumento nas atividades de agentes mal-intencionados visando essa vulnerabilidade.
Recomendações
Para versões anteriores à 5.76.0, atualize para a versão 5.76.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a renderização de trechos de postagens no arquivo excerpt.js para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ghost