PT-2024-25246 · Cmsimple · Cmsimple
Antonio Díaz
·
Publicado
2024-05-01
·
Atualizado
2024-07-03
·
CVE-2024-33423
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
CMSimple versão 5.15
Descrição
Uma vulnerabilidade de Cross-Site Scripting (XSS) no menu Configurações do CMSimple permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro
Logout, na seção Idioma. Isso permite que invasores possam sequestrar sessões de usuários, roubar dados confidenciais ou realizar outras ações maliciosas.Recomendações
Para o CMSimple versão 5.15, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao menu Configurações, especialmente à seção Idioma, para minimizar o risco de exploração. Evite usar o parâmetro
Logout na seção afetada até que a vulnerabilidade seja resolvida.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cmsimple