Vulnerabilidad en Xibo (CVE-2024-29022)

Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenidos web y software de reproducción de pantalla de Windows. En las versiones afectadas, algunos encabezados de solicitud no se sanitizan correctamente cuando se almacenan en las tablas de sesión y visualización. Estos encabezados se pueden utilizar para inyectar un script malicioso en la página de la sesión para filtrar los ID de sesión y los agentes de usuario. Estos ID de sesión/agentes de usuario se pueden utilizar posteriormente para secuestrar sesiones activas. Se puede inyectar un script malicioso en la cuadrícula de visualización para filtrar información relacionada con las pantallas. Los usuarios deben actualizar a la versión 3.3.10 o 4.0.9, que soluciona este problema. Los clientes que alojan su CMS con el servicio Xibo Signage ya recibieron una actualización o parche para resolver este problema independientemente de la versión de CMS que estén ejecutando. Es necesario actualizar a una versión fija para solucionarlo. Hay parches disponibles para versiones anteriores de Xibo CMS que no cuentan con soporte de seguridad: parche 2.3 ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. Parche 1.8 a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. No se conocen workarounds para este problema.