Vulnerabilidad en Background CMS (CVE-2025-25063)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

03/02/2025

Última modificación:

03/02/2025

Descripción

Se descubrió un problema de XSS en Background CMS 1.28.x anterior a 1.28.5 y 1.29.x anterior a 1.29.3. No valida lo suficiente las imágenes SVG cargadas para garantizar que no contengan etiquetas SVG potencialmente peligrosas. Las imágenes SVG pueden contener enlaces en los que se puede hacer clic y secuencias de comandos ejecutables, y al usar un SVG manipulado, es posible ejecutar secuencias de comandos en el navegador cuando se visualiza una imagen SVG. Este problema se mitiga porque el atacante necesita poder cargar imágenes SVG y porque Background incrusta todas las imágenes SVG cargadas dentro de las etiquetas &lt;img&gt;, lo que evita que se ejecuten secuencias de comandos. El SVG debe visualizarse directamente por su URL para poder ejecutar cualquier secuencia de comandos incrustada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://backdropcms.org/security/backdrop-sa-core-2025-002