CVE-2025-46595

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

25/04/2025

Última modificación:

25/04/2025

Descripción

Se detectó un problema de XSS en el módulo Flag antes de la versión 1.x-3.6.2 de Background CMS. Flag es un módulo que permite añadir banderas a nodos, comentarios, usuarios y cualquier otro tipo de entidad. No verifica los enlaces de las banderas antes de ejecutar la acción ni verifica que la respuesta devuelta haya sido proporcionada por el módulo. Esto puede permitir que el HTML manipulado genere cross-site scripting. Esto se mitiga porque un atacante debe tener un rol con permiso para crear enlaces en el sitio web; por ejemplo, para crear o editar comentarios o contenido con un formato de texto filtrado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://backdropcms.org/security/backdrop-sa-contrib-2025-011