BDU:2025-01597

Опубликовано: 06 дек. 2024

Источник: fstec

CVSS3: 6.5

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость системы управления контентом Umbraco CMS связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки (XSS)

Вендор

Umbraco

Наименование ПО

Umbraco CMS

Версия ПО

до 14.3.1 включительно (Umbraco CMS)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Компенсирующие меры:

- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-55488
CVE

EPSS

Процентиль: 41%

0.00189

Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2024-55488

CVSS3: 6.5

nvd

около 1 года назад

A stored cross-site scripting (XSS) vulnerability in Umbraco CMS v14.3.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload. NOTE: This has been disputed by the vendor since this potential attack is only possible via authenticated users who have been manually allowed access to the CMS. There was a deliberate decision made not to apply HTML sanitization at the product level.

GHSA-572q-86rr-5vgq

CVSS3: 6.5

github

около 1 года назад

Withdrawn Advisory: Umbraco Rich Text Display allows Cross-Site Scripting

EPSS

Процентиль: 41%

0.00189

Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2