CVE-2024-37160

Versões do Formwork anteriores à 1.13.1

O Formwork é um Sistema de Gerenciamento de Conteúdo (CMS) baseado em arquivos simples que permite que um invasor com privilégios de administrador execute scripts web arbitrários modificando as opções do site por meio de /panel/options/site. Esse tipo de ataque é adequado para persistência, afetando visitantes em todas as páginas (exceto o painel de controle). A falha é uma vulnerabilidade Stored XSS, que permite que invasores injetem JavaScript ou HTML malicioso por meio de uma carga maliciosa, alcançando persistência e potencialmente atacando inúmeros visitantes.

Para versões anteriores à 1.13.1, atualize para o Formwork 1.13.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /panel/options/site para minimizar o risco de exploração. Além disso, evite usar o campo de descrição nas opções do site para impedir a possível injeção de scripts maliciosos.