CVE-2024-13209

Nome do Software Vulnerável e Versões Afetadas Redaxo CMS versão 5.18.1

Descrição Uma vulnerabilidade foi identificada no componente de Gerenciamento de Estrutura do Redaxo CMS, afetando uma função desconhecida do arquivo /index.php?page=structure&category id=1&article id=1&clang=1&function=edit art&artstart=0. A manipulação do argumento Article Name resulta em cross-site scripting. É possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado previamente sobre esta divulgação, mas não respondeu de nenhuma forma. Um ator malicioso pode facilmente roubar cookies utilizando este XSS armazenado e realizar um ataque de sequestro de sessão.

Recomendações Para o Redaxo CMS versão 5.18.1, como medida de contorno temporária, considere restringir o acesso ao campo Article Name na Página de Gerenciamento de Estrutura até que um patch esteja disponível. Evite utilizar o campo Article Name no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.