Vulnerabilidad en Concrete CMS (CVE-2024-7394)
Severidad:
Pendiente de análisis
Type:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
08/08/2024
Última modificación:
08/08/2024
Descripción
Las versiones 9 a 9.3.2 y anteriores a 8.5.18 de Concrete CMS son vulnerables a XSS Almacenado en getAttributeSetName(). Un administrador deshonesto podría inyectar código malicioso. El equipo de Concrete CMS le dio a esto un rango CVSS v3.1 de 2 con vector AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N https:/ /nvd.nist.gov/vuln-metrics/cvss/v3-calculator y un rango CVSS v4.0 de 1,8 con vector CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A /VC:L/VI:L/VA:N/SC:N/SI:N/SA:N https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC: H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N . Gracias, m3dium por informar.
Referencias a soluciones, herramientas e información
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/933-release-notes?pk_vid=e367a434ef4830491723055753d52041
- https://documentation.concretecms.org/developers/introduction/version-history/8518-release-notes?pk_vid=e367a434ef4830491723055758d52041
- https://github.com/concretecms/concretecms/commit/c08d9671cec4e7afdabb547339c4bc0bed8eab06
- https://github.com/concretecms/concretecms/pull/12166