Vulnerabilidad en Background CMS (CVE-2025-25062)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

03/02/2025

Última modificación:

03/02/2025

Descripción

Se descubrió un problema de XSS en Background CMS 1.28.x anterior a 1.28.5 y 1.29.x anterior a 1.29.3. No aísla lo suficiente el contenido de texto largo cuando se utiliza el editor de texto enriquecido CKEditor 5. Esto permite que un atacante potencial manipule HTML y JavaScript especializados que pueden ejecutarse cuando un administrador intenta editar un fragmento de contenido. Esta vulnerabilidad se mitiga por el hecho de que un atacante debe tener la capacidad de crear contenido de texto largo (por ejemplo, a través de los formularios de nodos o comentarios) y un administrador debe editar (no ver) el contenido que contiene el contenido malicioso. Este problema solo existe cuando se utiliza el módulo CKEditor 5.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://backdropcms.org/security/backdrop-sa-core-2025-001