Vulnerabilidad en Concrete CMS (CVE-2024-4350)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
12/08/2024
Última modificación:
17/01/2025
Descripción
Las versiones de Concrete CMS 9.0.0 a 9.3.2 y anteriores a 8.5.18 son vulnerables a XSS Almacenado en RSS Displayer cuando la entrada del usuario se almacena y luego se integra en las respuestas. Un administrador deshonesto podría inyectar código malicioso en los campos debido a una validación de entrada insuficiente. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v3.1 de 3.0 con un vector de AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:N/A: N https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator y una puntuación CVSS v4 de 2,1 con el vector CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI :N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/ AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N Gracias, m3dium por informar.
Impacto
Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 8.5.18 (excluyendo) | |
| cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.3.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/933-release-notes?pk_vid=e367a434ef4830491723060415d52041
- https://documentation.concretecms.org/developers/introduction/version-history/8518-release-notes?pk_vid=e367a434ef4830491723055758d52041
- https://github.com/concretecms/concretecms/commit/c08d9671cec4e7afdabb547339c4bc0bed8eab06
- https://github.com/concretecms/concretecms/pull/12166