PT-2024-30571 · Xibo · Xibo
Sergey Bobrov
·
Publicado
2024-09-03
·
Atualizado
2024-09-12
·
CVE-2024-43413
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Xibo anteriores à 4.1.0
Descrição
Uma vulnerabilidade de cross-site scripting no Xibo CMS permite que usuários autorizados executem JavaScript por meio da funcionalidade DataSet. Isso ocorre quando um usuário cria um DataSet com uma coluna HTML contendo JavaScript, que é então executado na página de entrada de dados e em quaisquer layouts que o referenciem. O comportamento foi alterado na versão 4.1.0 para exibir HTML, CSS e JavaScript como código na página de Entrada de Dados.
Recomendações
Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da funcionalidade DataSet com colunas HTML até que a atualização seja aplicada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xibo