在后台全屏查看 SVG 文件时存在潜在代码执行风险 (CVE-2024-48927)

admin 2024-10-25 00:25:26 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
在后台全屏查看 SVG 文件时存在潜在代码执行风险 (CVE-2024-48927)

CVE编号

CVE-2024-48927

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-23
漏洞描述
Umbraco是一个免费开源的.NET内容管理系统,在版本上存在远程代码执行漏洞。具体来说,在版本分支低于13.5.2的13.x分支、低于10.8.7的10.x分支以及低于8.18.15的8.x分支都存在此问题。当后台用户在全屏模式下预览SVG文件时,存在潜在的代码执行风险。版本号为13.5.2、10.8.7和8.18.15的版本已经对该问题进行了修复。作为一种解决方案,服务器端的文件验证可以在文件上传过程中从文件内容中删除脚本标签。
解决建议
"将组件 umbracocms 升级至 8.18.15 及以上版本""将组件 umbraco.cms 升级至 10.8.7 及以上版本""将组件 umbraco.cms 升级至 13.5.2 及以上版本"
参考链接
https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-5955-cwv4-h7qh
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-74 输出中的特殊元素转义处理不恰当(注入)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-45518利用情况 暂无补丁情况 N/A披露时间 2024-10-23漏洞描述在Zimbra Collaboration
评论:0   参与:  0