CVE-2023-53910

Nome do Software Vulnerável e Versões Afetadas WBCE CMS versão 1.6.1

Descrição O WBCE CMS versão 1.6.1 apresenta uma vulnerabilidade de cross-site scripting armazenado. Atacantes autenticados podem injetar JavaScript malicioso inserindo tags de script no conteúdo da página por meio do editor WYSIWYG. Os atacantes podem enviar solicitações POST para o endpoint "/wbce/modules/wysiwyg/save.php" com conteúdo de script malicioso no parâmetro content. Isso permite a execução de JavaScript quando os usuários visualizam a página afetada.

Recomendações Atualize para uma versão mais recente do WBCE CMS que corrija esse problema. Como solução temporária, sanitize todas as entradas fornecidas pelo usuário antes de salvá-las no banco de dados. Restrinja o acesso ao endpoint "/wbce/modules/wysiwyg/save.php" apenas a usuários confiáveis.