Umbraco CMS 词典部分的“词典名称”中存在存储跨站点脚本漏洞 (CVE-2024-47819)
CVE编号
CVE-2024-47819利用情况
暂无补丁情况
N/A披露时间
2024-10-23漏洞描述
Umbraco是一个免费开源的.NET内容管理系统,从版本14.0.0开始至版本14.3.1和版本15.0.0之前存在跨站脚本漏洞。利用此漏洞可以获得更高权限端点的访问权限。例如,如果让拥有管理员权限的用户运行代码,可能会提升所有用户的权限并赋予他们管理员权限或访问受保护内容的能力。版本14.3.1和版本15.0.0已经包含了一个补丁。作为解决方案,请确保只允许可信用户访问字典部分。解决建议
"将组件 umbraco.cms.staticassets 升级至 14.3.1 及以上版本""将组件 @umbraco-cms/backoffice 升级至 14.3.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-c5g6-6xf7-qxp3 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论