Informazioni sul CVE-2024-29022
Session Hijacking via XSS attack in header and session grid in Xibo CMS
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-29022
Descrizione: Xibo è una piattaforma di digital signage open source con un sistema di gestione del contenuto web e software player per Windows. In alcune versioni, alcuni header di richiesta non vengono correttamente sanitizzati quando vengono salvati nella sessione e nelle tabelle di display. Questi header possono essere utilizzati per iniettare uno script malevolo nella pagina della sessione per estrarre ID di sessione e User Agents. Successivamente, questi ID di sessione / User Agents possono essere utilizzati per hijacking di sessioni attive. Un script malevolo può essere iniettato nella griglia di display per estrarre informazioni relative ai display. Gli utenti dovrebbero aggiornare alla versione 3.3.10 o 4.0.9 per risolvere questo problema. I clienti che ospitano il servizio di digital signage Xibo con la piattaforma Xibo hanno già ricevuto un aggiornamento o una patch per risolvere questo problema, indipendentemente dalla versione del CMS che utilizzano. Aggiornare a una versione corretta è necessario per risolvere. Le patch sono disponibili per le versioni precedenti di Xibo CMS che non sono più supportate: 2.3 patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. 1.8 patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. Non ci sono soluzioni note per questo problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-xchw-pf2w-rpgq
- https://github.com/dasgarner/xibo-cms/commit/a81044e6ccdd92cc967e34c125bd8162432e51bc.diff
- https://github.com/xibosignage/xibo-cms/commit/ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff
- https://xibosignage.com/blog/security-advisory-2024-04
Prodotti interessati
- xibosignage – xibo-cms
Relazioni con altri prodotti
Produttore:xibosignage
Prodotto: xibo-cms
Anno: 2024
CWE: CWE-79
CVSS: 0.0