PT-2024-23856 · Unknown · Instantcms
Jarnepeelman1
+1
·
Publicado
2024-04-05
·
Atualizado
2025-01-17
·
CVE-2024-31213
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
InstantCMS versão 2.16.2
Descrição
Foi encontrada uma redirecionamento aberto no aplicativo ICMS2 ao ser redirecionado após a modificação do próprio perfil de usuário. Um invasor poderia induzir uma vítima a visitar seu aplicativo web, fazendo-a acreditar que ainda está no aplicativo ICMS2. Ele poderia então hospedar um site com a mensagem “Para atualizar seu perfil, digite sua senha”, e o usuário poderia digitar sua senha e enviá-la ao invasor.
Recomendações
Como solução temporária, considere restringir o acesso ao recurso de modificação do perfil do usuário até que um patch esteja disponível.
Evite usar a versão afetada do InstantCMS até que uma versão corrigida seja lançada.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Instantcms