Vulnerabilidad en Concrete CMS (CVE-2024-3178)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/04/2024
Última modificación:
16/12/2024
Descripción
Las versiones 9 de Concrete CMS inferiores a 9.2.8 y las versiones inferiores a 8.5.16 son vulnerables a Cross-site Scripting (XSS) en el filtro de búsqueda avanzada de archivos. Antes de la solución, un administrador deshonesto podía agregar código malicioso en el administrador de archivos debido a una validación insuficiente de los datos proporcionados por el administrador. Todos los administradores tienen acceso al Administrador de archivos y, por lo tanto, pueden crear un filtro de búsqueda con el código malicioso adjunto. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v3.1 de 3.1 con un vector de AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A: L https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 8.5.16 (excluyendo) | |
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.2.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/928-release-notes?_gl=1%2A1bcxp5s%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY2ODEuMC4wLjA.
- https://documentation.concretecms.org/developers/introduction/version-history/8516-release-notes?_gl=1%2A1oa3zn1%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY3MDcuMC4wLjA.
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/928-release-notes?_gl=1%2A1bcxp5s%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY2ODEuMC4wLjA.
- https://documentation.concretecms.org/developers/introduction/version-history/8516-release-notes?_gl=1%2A1oa3zn1%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY3MDcuMC4wLjA.