Vulnerabilidad en Xibo (CVE-2024-43412)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/09/2024
Última modificación:
12/09/2024
Descripción
Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenido web (CMS). Antes de la versión 4.1.0, una vulnerabilidad de cross-site scripting en Xibo CMS permitía a los usuarios autorizados ejecutar código JavaScript arbitrario a través de la función de vista previa de archivos. Los usuarios pueden cargar archivos HTML/CSS/JS en la librería Xibo a través del módulo Archivo genérico para que se haga referencia a ellos en las pantallas y en los diseños. Esta es una funcionalidad prevista. Al obtener una vista previa de estos recursos desde la librería y el editor de diseños, se ejecutan en el navegador del usuario. Esta función se desactivará en futuras versiones y se recomienda a los usuarios que utilicen las nuevas herramientas para desarrolladores en la versión 4.1 para diseñar sus widgets que requieran este tipo de funcionalidad. Este comportamiento se ha modificado en la versión 4.1.0 para obtener una vista previa de los archivos genéricos. No existen workarounds para este problema.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xibosignage:xibo:*:*:*:*:*:*:*:* | 4.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página