PT-2024-30597 · Unknown · Concrete Cms

Fhanso

Publicado

2024-08-01

Atualizado

2025-01-17

CVE-2024-4353

CVSS v3.1

4.8

Média

Vetor

AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Concrete CMS, versões 9.0.0 a 9.3.2

Descrição

O problema é uma vulnerabilidade XSS armazenada na funcionalidade de geração de instâncias do painel de controle. O campo de entrada Name não verifica a entrada de forma adequada, permitindo que um administrador mal-intencionado injete código JavaScript malicioso.

Recomendações

Para as versões 9.0.0 a 9.3.2 do Concrete CMS, atualize para uma versão que inclua a correção para esta vulnerabilidade.

Como solução alternativa temporária, considere restringir o acesso ao campo de entrada Name na funcionalidade de geração de instâncias do painel de controle para minimizar o risco de exploração.

Correção

XSS

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-20

Identificadores relacionados

CVE-2024-4353

GHSA-3CPF-JMMC-8JM3

Produtos afetados

Concrete Cms

PT-2024-30597 · Unknown · Concrete Cms

CVE-2024-4353

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10