CVE-2024-38379

MITJÀ: (4,8)

CVSS3: 4,6

Apache Allura és vulnerable a la injecció indirecta de scripts causada per una validació incorrecta de l’entrada proporcionada per l’usuari per la configuració del barri. Un atacant remot podria explotar aquesta vulnerabilitat per injectar un script maliciós a una pàgina web que s’executaria al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• Apache Allura 1.4.0
• Apache Allura 1.17.0

Remediació
Actualitzeu a la darrera versió d’Allura (1.17.1 o posterior), disponible al lloc web d’Apache. Vegeu-ne les referències.

Referències

• ALLURA
• CVE-2024-38379: Apache Allura: Stored authenticated XSS