django CMS script beszúrásos sérülékenység

2013. január 28. 07:05

CH azonosító

CH-8336

Angol cím

django CMS page_attribute Template Tag Script Insertion Vulnerability

Felfedezés dátuma

2013.01.24.

Súlyosság

Alacsony

Érintett rendszerek

django CMS

Érintett verziók

django CMS 2.x

Összefoglaló

A django CMS olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva script beszúrásos (script insertion) támadásokat hajthatnak végre.

Leírás

A page_attribute template tag-en keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a kártékony adatok megtekintésekor.

A sérülékenység sikeres kihasználásához szükséges legalább egy django CMS oldal objektum szerkesztésének jogosultsága.

A sérülékenységek a 2.3.5 előtti verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2024-20358 – Cisco ASA és FTD sérülékenysége

CVE-2024-20359 – Cisco ASA és FTD sérülékenysége

CVE-2024-20353 – Cisco ASA és FTD sérülékenysége

CVE-2024-31857 – WordPress Forminator plugin sérülékenysége

CVE-2024-31077 – WordPress Forminator plugin sérülékenysége

CVE-2024-28890 – WordPress Forminator plugin sérülékenysége

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

Tovább a sérülékenységekhez »

django CMS script beszúrásos sérülékenység