Vulnerabilidad en Concrete CMS (CVE-2024-3178)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

03/04/2024

Última modificación:

16/12/2024

Descripción

Las versiones 9 de Concrete CMS inferiores a 9.2.8 y las versiones inferiores a 8.5.16 son vulnerables a Cross-site Scripting (XSS) en el filtro de búsqueda avanzada de archivos. Antes de la solución, un administrador deshonesto podía agregar código malicioso en el administrador de archivos debido a una validación insuficiente de los datos proporcionados por el administrador. Todos los administradores tienen acceso al Administrador de archivos y, por lo tanto, pueden crear un filtro de búsqueda con el código malicioso adjunto. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v3.1 de 3.1 con un vector de AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A: L https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

3.10

Gravedad 3.x

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:concretecms:concrete_cms::::::::		8.5.16 (excluyendo)
cpe:2.3:a:concretecms:concrete_cms::::::::	9.0.0 (incluyendo)	9.2.8 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Concrete CMS (CVE-2024-3178)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información