PT-2024-21646 · Decidim · Decidim
Andreslucena
·
Publicado
2024-07-10
·
Atualizado
2024-08-30
·
CVE-2024-27095
CVSS v4.0
6.8
Média
| Vetor | AV:N/AC:H/AT:N/PR:H/UI:P/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Decidim anteriores à 0.27.6
Versões do Decidim anteriores à 0.28.1
Descrição
O Decidim é uma estrutura de democracia participativa. O painel de administração está sujeito a um potencial ataque de cross-site scripting (XSS) caso o invasor consiga modificar alguns registros que estão sendo enviados para o servidor. Isso pode ocorrer se o invasor souber como criar solicitações específicas e modificar o código-fonte da página de edição para inserir manualmente um ID de blob retornado nos campos de entrada do formulário.
Recomendações
Para versões do Decidim anteriores à 0.27.6, atualize para a versão 0.27.6 ou posterior.
Para versões do Decidim anteriores à 0.28.1, atualize para a versão 0.28.1 ou posterior.
Como solução temporária, revise as contas de usuário que têm acesso ao painel de administração e remova o acesso delas caso não seja necessário.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Decidim