CVE-2021-47931

Nome do Software Vulnerável e Versões Afetadas Exponent CMS versão 2.6

Descrição Atacantes autenticados podem realizar cross-site scripting armazenado injetando scripts maliciosos através dos parâmetros Title e Text Block no endpoint de edição de texto. Isso é feito injetando payloads de iframe com eventos onload de SVG incorporados para executar JavaScript arbitrário. Além disso, a aplicação expõe credenciais de banco de dados em respostas e carece de proteção contra força bruta em endpoints de autenticação.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.