“顶部导航栏”块中的存储型 XSS(CVE-2024-8660)
CVE编号
CVE-2024-8660利用情况
暂无补丁情况
N/A披露时间
2024-09-18漏洞描述
Concrete CMS的9.0.0至9.3.3版本受到“顶部导航栏”块中的存储跨站脚本(XSS)漏洞的影响。由于“顶部导航栏”的输出没有得到足够的净化,恶意管理员可以在目标用户访问主页时添加并执行恶意负载。Concrete CMS安全团队为这次漏洞给出了CVSS v4的评分4.6,其向量链接为:https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N。这并不影响版本低于9.0.0的系统,因为它们没有顶部导航栏块。感谢Chu Quoc Khanh的报告。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://documentation.concretecms.org/9-x/developers/introduction/version-his... | |
| https://github.com/concretecms/concretecms/pull/12128 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论