Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Cross-Site Scripting almacenado en OpenCMS de Alkacon

In Noticias y Avisos CiberseguridadPosted
Cross-Site Scripting almacenado en OpenCMS de Alkacon

Aviso
Recursos Afectados

OpenCMS, versión 16.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a OpenCMS, versión 16, un gestor de contenido de código abierto basado en Java y en tecnología XML, las cuales han sido descubiertas por Miguel Segovia Gil.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE- CVE-2024-5520: 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N | CWE-79
  • CVE- CVE-2024-5521: 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N | CWE-79
3 – Media
Solución

La vulnerabilidad de Cross-Site Scripting a través del campo “title” ha sido solucionada en la versión 17. 

Sin embargo, el fabricante ha afirmado que la vulnerabilidad de Cross-Site Scripting a través de imágenes en formato .svg, no será solucionada porque filtrar el código JavaScript de archivos .svg podría traer efectos no deseados. 

Detalle

Dos vulnerabilidades de Cross-Site Scripting almacenado han sido descubiertas en OpenCMS de Alkacon afectando a la versión 16, las cuales podrían permitir a un usuario:

  • CVE-2024-5520: con suficientes privilegios para crear y modificar las páginas webs a través del panel de administración, puede ejecutar código JavaScript malicioso, tras insertar el código en el campo “title”.
  • CVE-2024-5521: que tenga los roles de editor de galería o gestor de recursos VFS, tendrá el permiso de subir imágenes en el formato .svg que contengan código JavaScript. El código se ejecutará en el momento en el que otro usuario acceda a la imagen.
Listado de referencias
Alkacon Software – The OpenCms Experts

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.