Vulnerabilidad en Xibo (CVE-2024-29023)

Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenidos web y software de reproducción de pantalla de Windows. Los tokens de sesión se exponen en el retorno de la llamada API de búsqueda de sesión en la página de sesiones. Posteriormente pueden ser extraídos y utilizados para secuestrar una sesión. Los usuarios deben tener acceso a la página de sesión o ser superadministradores. Los usuarios deben actualizar a la versión 3.3.10 o 4.0.9, que soluciona este problema. Los clientes que alojan su CMS con el servicio Xibo Signage ya recibieron una actualización o parche para resolver este problema independientemente de la versión de CMS que estén ejecutando. Hay parches disponibles para versiones anteriores de Xibo CMS que no cuentan con soporte de seguridad: parche 2.3 ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. Parche 1.8 a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. No se conocen workarounds para esta vulnerabilidad.