PT-2024-20575 · Sulu · Sulu

Alexander-Schranz

·

Publicado

2024-02-05

·

Atualizado

2024-02-12

·

CVE-2024-24807

CVSS v3.1

2.7

Baixa

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Sulu anteriores à 2.4.16
Versões do Sulu anteriores à 2.5.12
Descrição
O Sulu é um sistema de gerenciamento de conteúdo PHP de código aberto altamente extensível, baseado na estrutura Symfony. Existe um problema ao inserir HTML no nome da tag. O HTML é executado quando o nome da tag é listado no formulário de preenchimento automático. Apenas usuários administradores podem criar tags, portanto, são os únicos afetados.
Recomendações
Para versões anteriores à 2.4.16, atualize para a versão 2.4.16 ou posterior.
Para versões anteriores à 2.5.12, atualize para a versão 2.5.12 ou posterior.
Como solução alternativa temporária, considere criar um observador de mutação personalizado para mitigar o problema.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

CVE-2024-24807
GHSA-GFRH-GWQC-63CV

Produtos afetados

Sulu