CVE-2024-34749

MITJÀ (6,1)

CVSS3: 5,8

Phormer és vulnerable a la injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot podria explotar aquesta vulnerabilitat mitjançant un URL dissenyat especialment per executar un script al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop es fa clic a l’URL . Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• Phormer Phormer 3.35

Remediació
Actualitzeu a la darrera versió de Phormer (3.35 o posterior), disponible al repositori GIT. Vegeu-ne les Referències.

Referències

• Phormer – PHP without MySQL PhotoGallery
• Phormer vulnerable to cross-site scripting