CVE-2024-43006

ZZCMS2023 (versões afetadas não especificadas)

Existe uma vulnerabilidade de script entre sites (XSS) armazenada no arquivo ask/show.php, na linha 21. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação POST especialmente criada para “/user/ask edit.php?action=add”, que inclui código JavaScript malicioso no parâmetro content. Quando um usuário acessa a página “ask/show {newsid}.html”, o script injetado é executado no contexto do navegador do usuário, podendo levar ao roubo de cookies, tokens de sessão ou outras informações confidenciais.

Como solução temporária, considere desativar o arquivo ask/show.php ou restringir o acesso ao endpoint “/user/ask edit.php?action=add” até que uma correção esteja disponível. Evite usar o parâmetro content no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.