Vulnerabilidad en la carga de archivos SVG en la plataforma CMS October (CVE-2020-15249)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/11/2020
Última modificación:
30/11/2020
Descripción
October es una plataforma CMS gratuita, de código abierto y autohosteada basada en Laravel PHP Framework. En October CMS desde la versión 1.0.319 y anterior a versión 1.0.469, a los usuarios de backend con acceso para cargar archivos se les permitió cargar archivos SVG sin ningún saneamiento aplicado a los archivos cargados. Dado que los archivos SVG admiten ser analizados como HTML por los navegadores, esto significa que teóricamente podrían cargar Javascript que se ejecutaría en una ruta bajo el dominio del sitio web (es decir, /storage/app/media/evil.svg), pero tendrían que convencer su objetivo para que visite esa ubicación directamente en el navegador del objetivo, ya que el backend no muestra SVG en línea en ningún lugar, los SVG solo se muestran como recursos de imagen en el backend y, por lo tanto, no se pueden ejecutar. El problema se ha corregido en Build 469 (versión v1.0.469) y versión v1.1.0
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 1.0.319 (incluyendo) | 1.0.469 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página