Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Concrete CMS (CVE-2024-8661)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/09/2024
Última modificación:
16/12/2024

Descripción

Las versiones 9.0.0 a 9.3.4 y anteriores a 8.5.18 de Concrete CMS son vulnerables a XSS almacenado en el bloque "Navegación anterior y siguiente". Un administrador malintencionado podría agregar una carga maliciosa ejecutándola en los navegadores de los usuarios afectados. El equipo de seguridad de Concrete CMS le otorgó a esta vulnerabilidad una puntuación CVSS v4 de 4,6 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N Dado que la salida del bloque "Next&Previous Nav" no se desinfectó lo suficiente, la carga maliciosa podría ejecutarse en los navegadores de los usuarios afectados. Gracias, Chu Quoc Khanh, por informar.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* 8.5.19 (excluyendo)
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* 9.0 (incluyendo) 9.3.4 (excluyendo)