Informazioni sul CVE-2024-43412
Xibo CMS XSS vulnerability when previewing files uploaded to the library containing HTML/JS
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-43412
Descrizione: Xibo è una piattaforma di digital signage open source con un sistema di gestione dei contenuti web (CMS). Prima della versione 4.1.0, una vulnerabilità di JavaScript lato client in Xibo CMS permette agli utenti autorizzati di eseguire JavaScript arbitrario tramite la funzione di anteprima del file. Gli utenti possono caricare file HTML/CSS/JS nella Biblioteca Xibo tramite il modulo File Generico per essere riferiti su Schermi e Layout. Questa è una funzionalità prevista. Quando si visualizza questi file dal Library e Layout editor, vengono eseguiti nel browser dell’utente. Questo comportamento sarà disabilitato in future versioni e gli utenti sono incoraggiati a utilizzare gli strumenti di sviluppo nuovi in 4.1 per progettare i propri widget che richiedono questo tipo di funzionalità. Questo comportamento è stato modificato in 4.1.0 per la visualizzazione della visualizzazione di file generici. Non ci sono soluzioni alternative a questo problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-336f-wrgx-57gg
- https://github.com/xibosignage/xibo-cms/commit/d8f13339469d9f19ce591fb2bd7c9e0e0d2da118
Prodotti interessati
- xibosignage – xibo-cms
Relazioni con altri prodotti
Produttore:xibosignage
Prodotto: xibo-cms
Anno: 2024
CWE: CWE-79
CVSS: 0.0