PT-2025-13636 · Unknown · Concrete Cms
Publicado
2025-03-30
·
Atualizado
2025-03-31
·
CVE-2025-2964
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do ConcreteCMS até a 9.3.9
Descrição
Uma falha foi encontrada na função Save do componente FAQ Block Handler. A manipulação do argumento
Navigation/Title Text/Description Source resulta em cross-site scripting. É possível lançar o ataque remotamente. A falha foi divulgada publicamente.Recomendações
Para versões até a 9.3.9, considere desativar a função Save do componente FAQ Block Handler até que uma correção esteja disponível. Restrinja o acesso ao FAQ Block Handler para minimizar o risco de exploração. Evite utilizar o argumento
Navigation/Title Text/Description Source no componente afetado até que a falha seja resolvida.Exploit
Correção
XSS
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Concrete Cms