Vulnerabilidad en Concrete CMS (CVE-2023-49337)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/02/2024
Última modificación:
16/12/2024
Descripción
Concrete CMS anterior a 9.2.3 permite almacenar XSS en el panel de administración a través de /dashboard/system/basics/name. (8.5 y versiones anteriores no se ven afectadas).
Impacto
Puntuación base 3.x
2.40
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.2.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/concretecms/concretecms/commit/07b433799b888c4eb854e052ca58b032ebc6d36f
- https://hackerone.com/reports/2232594
- https://www.concretecms.org/about/project-news/security/2023-12-05-concrete-cms-new-cves-and-cve-updates
- https://github.com/concretecms/concretecms/commit/07b433799b888c4eb854e052ca58b032ebc6d36f
- https://hackerone.com/reports/2232594
- https://www.concretecms.org/about/project-news/security/2023-12-05-concrete-cms-new-cves-and-cve-updates