GHSA-wv8v-rmw2-25wc

Опубликовано: 21 янв. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.6

Описание

XSS/HTML Injection Vulnerability in Umbraco Backoffice Components

Impact

Authenticated users are able to exploit an XSS vulnerability when viewing certain localized backoffice components.

Patches

Will be patched in 14.3.2 and 15.1.2.

Note: This issue was reported by Pratik Patil from NetSPI @Nexusss-ppatil

Ссылки

Пакеты

Наименование

Umbraco.Cms.StaticAssets

nuget

Затронутые версииВерсия исправления

>= 14.0.0, < 14.3.2

14.3.2

Наименование

Umbraco.Cms.StaticAssets

nuget

Затронутые версииВерсия исправления

>= 15.0.0, < 15.1.2

15.1.2

Наименование

@umbraco-cms/backoffice

npm

Затронутые версииВерсия исправления

>= 14.0.0, < 14.3.2

14.3.2

Наименование

@umbraco-cms/backoffice

npm

Затронутые версииВерсия исправления

>= 15.0.0, < 15.1.2

15.1.2

EPSS

Процентиль: 45%

0.00228

Низкий

4.6 Medium

CVSS3

CVE ID

CVE-2025-24012

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-24012

CVSS3: 4.6

nvd

около 1 года назад

Umbraco is a free and open source .NET content management system. Starting in version 14.0.0 and prior to versions 14.3.2 and 15.1.2, authenticated users are able to exploit a cross-site scripting vulnerability when viewing certain localized backoffice components. Versions 14.3.2 and 15.1.2 contain a patch.

EPSS

Процентиль: 45%

0.00228

Низкий

4.6 Medium

CVSS3

CVE ID

CVE-2025-24012

Дефекты

CWE-79