Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Concrete CMS (CVE-2024-2179)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/03/2024
Última modificación:
16/12/2024

Descripción

La versión 9 de Concrete CMS anterior a la 9.2.7 es vulnerable a XSS almacenado a través del campo Nombre de un tipo de grupo, ya que no hay validación suficiente de los datos proporcionados por el administrador para ese campo. Un administrador deshonesto podría inyectar código malicioso en el campo Nombre que podría ejecutarse cuando los usuarios visitan la página afectada. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v3.1 de 2.2 con un vector de AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A: N Las versiones concretas inferiores a 9 no incluyen tipos de grupos, por lo que no se ven afectados por esta vulnerabilidad. Gracias a Luca Fuda por informar.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* 9.0.0 (incluyendo) 9.2.7 (excluyendo)