Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Concrete CMS (CVE-2024-3180)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/04/2024
Última modificación:
16/12/2024

Descripción

La versión 9 de Concrete CMS inferior a 9.2.8 y las versiones anteriores inferiores a 8.5.16 son vulnerables a XSS almacenado en bloques de tipo archivo. Antes de la solución, el XSS almacenado podría deberse a que un administrador deshonesto agregaba código malicioso al campo de texto del enlace al crear un bloque de tipo archivo. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v3.1 de 3.1 con un vector de AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A: L https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator. Gracias Alexey Solovyev por informar.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* 8.5.16 (excluyendo)
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* 9.0.0 (incluyendo) 9.2.8 (excluyendo)