Plataforma
php
Componente
october/backend
Corregido en
1.0.320
1.0.469
La vulnerabilidad CVE-2020-15249 es una falla de Cross-Site Scripting (XSS) presente en october/backend, específicamente en la funcionalidad de subida de archivos. Esta falla permite a usuarios con acceso a subir archivos SVG sin la debida sanitización, lo que podría resultar en la ejecución de código JavaScript malicioso en el navegador de un usuario si este visita directamente la URL del archivo SVG. La vulnerabilidad afecta a versiones de october/backend iguales o inferiores a v1.0.468. Se recomienda actualizar a la versión 1.0.469 para mitigar el riesgo.
El impacto principal de esta vulnerabilidad radica en la posibilidad de ejecutar código JavaScript arbitrario en el contexto del dominio del sitio web. Un atacante podría subir un archivo SVG malicioso que contenga código JavaScript y, si logra que un usuario visite directamente la URL de ese archivo (por ejemplo, /storage/app/media/evil.svg), el código se ejecutaría en el navegador del usuario. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o realizar otras acciones maliciosas en nombre del usuario. Es importante destacar que la vulnerabilidad no permite la ejecución de código directamente en el backend, sino que depende de la interacción del usuario con el archivo SVG subido.
La vulnerabilidad CVE-2020-15249 fue publicada el 23 de noviembre de 2020. No se ha añadido a la lista KEV de CISA. No se han reportado públicamente exploits activos relacionados con esta vulnerabilidad, pero la disponibilidad de la vulnerabilidad y la relativa facilidad de explotación la convierten en un objetivo potencial para atacantes. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
Organizations using October CMS versions prior to 1.0.469, particularly those with backend users who have file upload privileges, are at risk. Shared hosting environments where users have independent file upload capabilities are also particularly vulnerable.
• linux / server:
find /var/www/october/storage/app/media -name '*.svg' -print0 | xargs -0 grep -i '<script' • generic web:
curl -I https://your-october-cms-site.com/storage/app/media/evil.svg | grep Content-Type• generic web:
Check web server access logs for requests to files under /storage/app/media with unusual user agents or referring URLs.
disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar october/backend a la versión 1.0.469 o superior, donde la falla ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la carpeta de subidas de archivos y validar estrictamente el tipo de archivo antes de permitir la subida. Además, se puede considerar la implementación de un Web Application Firewall (WAF) que filtre el tráfico entrante y bloquee las solicitudes que contengan código JavaScript malicioso en archivos SVG. Después de la actualización, confirmar la mitigación revisando los logs del servidor para detectar intentos de subida de archivos SVG maliciosos.
Actualice October CMS a la versión 1.0.469 o superior. Esta versión corrige la vulnerabilidad de XSS almacenado al aplicar sanitización a los archivos SVG subidos. Alternativamente, actualice a la versión 1.1.0.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-15249 is a cross-site scripting (XSS) vulnerability in October CMS that allows attackers to upload malicious SVG files.
You are affected if you are using October CMS versions 1.0.468 or earlier. Upgrade to 1.0.469 or later to resolve the issue.
Upgrade October CMS to version 1.0.469 or later. As a temporary workaround, restrict direct access to the /storage/app/media directory.
There is no current evidence of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the official October CMS security advisory: https://octobercms.com/support/security
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.