在后台全屏查看 SVG 文件时存在潜在代码执行风险 (CVE-2024-48927)
CVE编号
CVE-2024-48927利用情况
暂无补丁情况
N/A披露时间
2024-10-23漏洞描述
Umbraco是一个免费开源的.NET内容管理系统,在版本上存在远程代码执行漏洞。具体来说,在版本分支低于13.5.2的13.x分支、低于10.8.7的10.x分支以及低于8.18.15的8.x分支都存在此问题。当后台用户在全屏模式下预览SVG文件时,存在潜在的代码执行风险。版本号为13.5.2、10.8.7和8.18.15的版本已经对该问题进行了修复。作为一种解决方案,服务器端的文件验证可以在文件上传过程中从文件内容中删除脚本标签。解决建议
"将组件 umbracocms 升级至 8.18.15 及以上版本""将组件 umbraco.cms 升级至 10.8.7 及以上版本""将组件 umbraco.cms 升级至 13.5.2 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-5955-cwv4-h7qh |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-74 | 输出中的特殊元素转义处理不恰当(注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论