CVE-2024-47605

Nome do Software Vulnerável e Versões Afetadas: silverstripe-asset-admin versões anteriores a 5.3.8 silverstripe/framework versões anteriores a 5.3.8

Descrição: O problema surge ao utilizar a funcionalidade "insert media", onde o JSON oEmbed vinculado inclui um atributo HTML que substitui o shortcode de embed. Como o HTML não é sanitizado antes de substituir o shortcode, isso permite que um payload de script seja executado tanto no CMS quanto no front-end do website.

Recomendações: Para versões do silverstripe-asset-admin anteriores a 5.3.8, atualize para a versão 5.3.8 ou superior. Para versões do silverstripe/framework anteriores a 5.3.8, atualize para a versão 5.3.8 ou superior. Como solução temporária, considere desativar a funcionalidade "insert media" até que um patch esteja disponível. Restrinja o acesso ao endpoint JSON do oEmbed para minimizar o risco de exploração. Evite usar a funcionalidade insert media no endpoint da API afetado até que o problema seja resolvido.