Vulnerabilidad en Umbraco (CVE-2023-49279)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/12/2023
Última modificación:
15/12/2023
Descripción
Umbraco es un sistema de gestión de contenidos (CMS) ASP.NET. A partir de la versión 7.0.0 y anteriores a las versiones 7.15.11, 8.18.9, 10.7.0, 11.5.0 y 12.2.0, un usuario con acceso al backoffice puede cargar archivos SVG que incluyan scripts. Si el usuario puede engañar a otro usuario para que cargue los medios directamente en un navegador, los scripts se pueden ejecutar. Las versiones 7.15.11, 8.18.9, 10.7.0, 11.5.0 y 12.2.0 contienen un parche para este problema. Algunas soluciones están disponibles. Implemente la validación de archivos del lado del servidor o proporcione todos los medios desde un host diferente (por ejemplo, cdn) al que está alojado Umbraco.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.15.11 (excluyendo) |
| cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.18.9 (excluyendo) |
| cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.7.0 (excluyendo) |
| cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.5.0 (excluyendo) |
| cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página