Concrete5 跨站脚本漏洞

CVE编号

CVE-2021-3111

利用情况

暂无

补丁情况

N/A

披露时间

2021-01-09

漏洞描述

Portlandlabs Concrete5是美国PortlandLabs公司的一套开源内容管理系统（CMS）。
Concrete5 8.5.4版本存在跨站脚本漏洞，该漏洞源于index.php/dashboard/express/entries/view/的name字段缺少对客户端数据的正确验证，攻击者可能利用此漏洞窃取用户Cookie凭据。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://documentation.concrete5.org/developers/introduction/version-history

参考链接
http://packetstormsecurity.com/files/161600/Concrete5-8.5.4-Cross-Site-Scripting.html
http://packetstormsecurity.com/files/161997/Concrete5-8.5.4-Cross-Site-Scripting.html
https://documentation.concrete5.org/developers/introduction/version-history
https://documentation.concrete5.org/developers/introduction/version-history/8...
https://github.com/Quadron-Research-Lab/CVE/blob/main/CVE-2021-3111.pdf

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	concrete5	concrete5	8.5.4	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

正文

Concrete5 跨站脚本漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]