CVE-2024-12907

Nome do Software Vulnerável e Versões Afetadas Kentico CMS versão 7

Descrição O problema consiste em um ataque XSS refletido que ocorre através da manipulação de um parâmetro específico da requisição GET enviado ao endpoint "/CMSMessages/AccessDenied.aspx". O suporte para a versão 7 do Kentico CMS encerrou em 2016. Observa-se que a versão 8 não apresenta este problema.

Recomendações Para a versão 7 do Kentico CMS, como o suporte foi encerrado e esta versão é vulnerável, considere atualizar para uma versão com suporte para mitigar o risco. Como medida temporária, considere restringir o acesso ao endpoint "/CMSMessages/AccessDenied.aspx" até que uma solução mais permanente possa ser aplicada. Evite utilizar o parâmetro de requisição GET vulnerável neste endpoint para minimizar o risco de exploração.