PT-2024-21399 · Kirby Cms+1 · Kirby Cms+1
Publicado
2024-02-21
·
Atualizado
2025-08-21
·
CVE-2024-26482
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Kirby CMS versão 4.1.0
Descrição
Existe uma vulnerabilidade de injeção de HTML no módulo “Edit Content Layout”. O fornecedor contesta a gravidade deste relatório, afirmando que certa formatação HTML é permitida e que a sanitização no backend impede a injeção de scripts maliciosos. No entanto, há relatos de que isso poderia permitir que invasores executassem código arbitrário por meio de uma carga maliciosa especialmente criada.
Recomendações
Para o Kirby CMS versão 4.1.0, considere desativar o módulo Edit Content Layout até que orientações adicionais sejam disponibilizadas pelo fornecedor, como uma solução temporária para minimizar riscos potenciais.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kirby Cms
Suse