Informazioni sul CVE-2024-29023
Session Hijacking via token exposure on the session page in Xibo CMS
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2024-29023
Descrizione: Xibo è una piattaforma di digital signage open source con un sistema di gestione del contenuto web e software player per Windows. I token di sessione sono esposti nel ritorno della chiamata API di ricerca della sessione, e possono essere esfiltrati e utilizzati per hijackare una sessione. Gli utenti devono essere autorizzati a visualizzare la pagina della sessione, o essere un amministratore super. Gli utenti dovrebbero aggiornare alla versione 3.3.10 o 4.0.9 che risolve questo problema. I clienti che ospitano il loro CMS con il servizio Xibo Signage hanno già ricevuto un aggiornamento o una patch per risolvere questo problema, indipendentemente dalla versione del CMS che utilizzano. Le patch sono disponibili per le versioni precedenti di Xibo CMS che non hanno più supporto di sicurezza: 2.3 patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. 1.8 patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-xmc6-cfq5-hg39
- https://github.com/dasgarner/xibo-cms/commit/a81044e6ccdd92cc967e34c125bd8162432e51bc.diff
- https://github.com/xibosignage/xibo-cms/commit/3b93636aa7aea07d1f7dfa36b63b773ac16d7cde
- https://github.com/xibosignage/xibo-cms/commit/49f018fd9fe64fcd417d7c2ef96078bd7b2b88b7
- https://github.com/xibosignage/xibo-cms/commit/ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff
- https://xibosignage.com/blog/security-advisory-2024-04
Prodotti interessati
- xibosignage – xibo-cms
Relazioni con altri prodotti
Produttore:xibosignage
Prodotto: xibo-cms
Anno: 2024
CWE: CWE-200
CVSS: 0.0