PT-2024-38322 · Unknown · Concrete Cms
Aembler
+1
·
Publicado
2024-09-24
·
Atualizado
2025-01-21
·
CVE-2024-7398
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 9 a 9.3.3 do Concrete CMS
Versões do Concrete CMS anteriores à 8.5.19
Descrição
O problema está relacionado a XSS armazenado no recurso de adição de eventos do calendário. Isso ocorre porque o nome do evento do calendário não foi sanitizado na saída. Usuários ou grupos com permissão para criar calendários de eventos podem incorporar scripts, e usuários ou grupos com permissão para modificar calendários de eventos podem executar scripts.
Recomendações
Para as versões 9 a 9.3.3 do Concrete CMS, atualize para uma versão superior à 9.3.3 para resolver o problema.
Para as versões do Concrete CMS anteriores à 8.5.19, atualize para a versão 8.5.19 ou superior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao recurso de adição de eventos no calendário para usuários ou grupos com permissão para criar ou modificar calendários de eventos até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Concrete Cms