Plattform
php
Komponente
baserproject/basercms
Behoben in
5.2.4
5.2.3
CVE-2026-32734 describes a DOM-based cross-site scripting (XSS) vulnerability present in baserproject/basercms versions up to 5.2.2. This flaw allows attackers to inject and execute malicious JavaScript code when creating tags within the CMS, potentially leading to unauthorized access and data theft. The vulnerability has been addressed with the release of version 5.2.3, and users are strongly advised to upgrade.
CVE-2026-32734 in basercms betrifft Versionen 5.2.2 und älter und ermöglicht die Ausführung von bösartigem JavaScript-Code über die Erstellung von Tags. Dies ist eine DOM-basierte Cross-Site Scripting (XSS)-Schwachstelle. Ein Angreifer könnte JavaScript-Code in ein Tag injizieren, der dann im Browser eines Benutzers ausgeführt wird, der die Seite mit diesem Tag besucht. Dies könnte es dem Angreifer ermöglichen, Cookies zu stehlen, den Benutzer auf bösartige Websites umzuleiten oder andere bösartige Aktionen im Namen des Benutzers durchzuführen. Die Schwere dieser Schwachstelle wird gemäß CVSS mit 7,1 bewertet, was ein moderates bis hohes Risiko anzeigt.
Die Schwachstelle wird ausgenutzt, indem ein Tag in basercms erstellt und bösartiger JavaScript-Code in das Textfeld des Tags injiziert wird. Wenn ein Benutzer die Seite mit diesem Tag besucht, wird der JavaScript-Code in seinem Browser ausgeführt. Der Angreifer könnte diese Technik verwenden, um sensible Benutzerinformationen zu erhalten oder unbefugte Aktionen durchzuführen.
Organizations and individuals using baserproject/basercms version 5.2.2 or earlier are at risk. This includes websites and applications built on basercms, particularly those with user-generated content or public-facing tag creation features. Shared hosting environments utilizing basercms are also at increased risk due to potential cross-tenant contamination.
• php: Examine basercms tag creation forms for suspicious input. Use grep to search for potentially malicious JavaScript code within the tag content.
grep -r 'alert\(' /var/www/basercms/application/views• generic web: Monitor access logs for requests to tag creation endpoints with unusual parameters. Check response headers for signs of JavaScript injection.
curl -I https://example.com/basercms/tags/create | grep Content-Type• generic web: Use a web vulnerability scanner to identify XSS vulnerabilities in the tag creation functionality.
disclosure
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung zur Minderung dieser Schwachstelle ist die Aktualisierung von basercms auf Version 5.2.3 oder höher. Diese Version enthält eine Korrektur, die die Injektion von bösartigem JavaScript-Code während der Tag-Erstellung verhindert. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um Ihre Website vor potenziellen Angriffen zu schützen. Weitere detaillierte Anweisungen zur Aktualisierung finden Sie auf der basercms-Sicherheitsseite (https://basercms.net/security/JVN_94952030). Darüber hinaus ist es entscheidend, alle vorhandenen Tags zu überprüfen und zu bereinigen, die möglicherweise kompromittiert wurden.
Actualice baserCMS a la versión 5.2.3 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. Puede descargar la última versión desde el sitio web oficial o actualizar a través del panel de administración.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitsschwachstelle, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Wenn Sie eine Version von basercms verwenden, die älter als 5.2.3 ist, ist Ihre Website anfällig. Führen Sie eine Sicherheitsprüfung durch, um potenziell kompromittierte Tags zu identifizieren.
Aktualisieren Sie sofort auf Version 5.2.3 oder höher. Überprüfen Sie die Serverprotokolle und Datenbanken auf verdächtige Aktivitäten. Ziehen Sie in Erwägung, einen Sicherheitsexperten zu beauftragen, um eine vollständige Bewertung durchzuführen.
Wenn Sie nicht sofort aktualisieren können, implementieren Sie zusätzliche Sicherheitsmaßnahmen, wie z. B. die Validierung und Bereinigung von Benutzereingaben sowie die Verwendung einer Content-Sicherheitspolitik (CSP).
Die Schwachstelle wurde von quanlna2 (Le Nguyen Anh Quan), namdi (Do Ich Nam), minhnn42 (Nguyen Ngoc Minh) und VCSLab - Viettel Cyber Security entdeckt.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.