CVE-2023-50072

  MITJÀ: (5,4)

CVSS3: 5,2

L’OpenKM és vulnerable a una injecció indirecta de scripts, causats per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot autenticat podria explotar aquesta vulnerabilitat penjant una nota especialment dissenyada per injectar un script maliciós a una pàgina web que s’executaria al navegador web de la víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• OpenKM OpenKM 7.1.40

Remediació
No hi ha cap recurs disponible a partir del 25 de gener del 2024.

Referències

• CVE-2023-50072
• OpenKM
• A Stored Cross-Site Scripting (XSS) vulnerability exists in OpenKM version 7.1.40 (dbb6e88) With Professional Extension that allows an authenticated user to upload a note on a file which acts as a stored XSS payload.