CVE-2023-5244

MITJÀ: (5)

CVSS3: 4,4

Microweber és vulnerable a seqüències d’ordres en llocs creuats. Això, seria causat per la validació incorrecta de l’entrada proporcionada per l’usuari a /editor_tools/rte_image_editor. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant un URL especialment dissenyat per executar un script al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, una vegada que es fa clic en l’URL. L’atacant podria utilitzar aquesta vulnerabilitat per perpetrar un furt de les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Microweber Microweber 1.3.0
• Microweber Microweber 1.3.1
• Microweber Microweber 1.2.8
• Microweber Microweber 1.2.12
• Microweber Microweber 1.3.2

Remediació
Consulteu el repositori GIT de Microweber per obtenir informació sobre  actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://github.com/microweber/microweber/commit/1cb846f8f54ff6f5c668f3ae64dd81740a7e8968
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5244