PT-2024-36493 · Alkacon · Opencms
Miguel Segovia Gil
·
Publicado
2024-05-30
·
Atualizado
2024-05-30
·
CVE-2024-5520
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
OpenCMS da Alkacon, versão 16
Descrição
Foram descobertas duas vulnerabilidades de Cross-Site Scripting no OpenCMS da Alkacon, que poderiam permitir que um usuário com privilégios suficientes para criar e modificar páginas da web através do painel de administração executasse código JavaScript malicioso após inserir código no campo
title. Outra vulnerabilidade permite que usuários com as funções de editor de galeria ou gerente de recursos VFS enviem imagens no formato .svg contendo código JavaScript, que será executado quando outro usuário acessar a imagem.Recomendações
Para a versão 16, considere desativar a capacidade de inserir código no campo
title e restringir o upload de imagens .svg até que um patch esteja disponível.Restrinja o acesso ao painel de administração e limite as funções de editor de galeria e gerente de recursos VFS para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opencms