PT-2024-32676 · Unknown+2 · Sulumediabundle+2
Wachterjohannes
·
Publicado
2024-10-03
·
Atualizado
2024-10-08
·
CVE-2024-47617
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Sulu anteriores à 2.6.5
Versões do Sulu anteriores à 2.5.21
Descrição
Esta vulnerabilidade permite que um invasor injete código HTML/JavaScript arbitrário por meio da URL de download de mídia no Sulu CMS, afetando o componente SuluMediaBundle. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) refletido, que poderia permitir que invasores roubassem informações confidenciais, manipulassem o conteúdo do site ou realizassem ações em nome da vítima.
Recomendações
Para versões anteriores à 2.6.5, atualize para a versão 2.6.5 ou posterior.
Para versões anteriores à 2.5.21, atualize para a versão 2.5.21 ou posterior.
Como solução alternativa temporária, considere implementar validação de entrada e codificação de saída adicionais para o parâmetro
slug no método downloadAction do MediaStreamController.Alternativamente, configurar um Web Application Firewall (WAF) para filtrar entradas potencialmente maliciosas pode servir como uma mitigação temporária.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sulu
Sulu Cms
Sulumediabundle