LOWCVE-2020-4061CVSS 3.7

Cross-site Scripting en October

Q: What is CVE-2020-4061 — XSS in October CMS?

CVE-2020-4061 is a Cross-Site Scripting (XSS) vulnerability in the October CMS backend, allowing malicious script injection via the Froala rich editor.

Q: Am I affected by CVE-2020-4061 in October CMS?

You are affected if you are running October CMS versions ≤v1.0.466 and utilize the Froala rich editor in the backend.

Q: How do I fix CVE-2020-4061 in October CMS?

Upgrade to October CMS Build 467 (v1.0.467) or apply the manual patch available at the provided GitHub link.

Q: Is CVE-2020-4061 being actively exploited?

Active exploitation is not confirmed, but a public proof-of-concept exists, increasing the risk.

Q: Where can I find the official October CMS advisory for CVE-2020-4061?

Refer to the October CMS advisory and research report: https://research.securitum.com/the-curious-case-of-copy-paste/

Plataforma

php

Componente

october/backend

Corregido en

1.0.320

1.0.467

AI Confidence: highNVDEPSS 0.3%Revisado: may 2026

Ver en NVD

Guardar

La vulnerabilidad CVE-2020-4061 es una falla de Cross-Site Scripting (XSS) presente en October CMS. Un atacante puede explotar esta vulnerabilidad pegando contenido copiado de sitios web maliciosos en el editor Froala, lo que podría resultar en un ataque XSS exitoso. Esta vulnerabilidad afecta a las versiones de October CMS menores o iguales a v1.0.466. La solución es actualizar a la versión 1.0.467 o aplicar el parche manual proporcionado.

Impacto y Escenarios de Ataque

La explotación exitosa de esta vulnerabilidad XSS permite a un atacante inyectar código JavaScript malicioso en las páginas web de October CMS. Este código puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad y la integridad de los datos de los usuarios. La naturaleza de la vulnerabilidad, que se basa en la manipulación del editor Froala, la hace particularmente peligrosa, ya que los usuarios pueden ser engañados para que peguen contenido malicioso sin darse cuenta. Esto podría llevar a la ejecución de código arbitrario en el contexto del usuario, permitiendo al atacante realizar acciones en nombre del usuario autenticado.

Contexto de Explotación

La vulnerabilidad fue descubierta y reportada por Securitum en julio de 2020. Existe una prueba de concepto pública disponible que demuestra la explotación de la vulnerabilidad. Aunque no se han reportado casos de explotación activa a gran escala, la disponibilidad de una prueba de concepto pública aumenta el riesgo de que la vulnerabilidad sea explotada. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción de este documento.

Quién Está en Riesgotraduciendo…

Administrators and developers with access to the October CMS backend are at risk. Sites utilizing the Froala rich editor within the backend are particularly vulnerable. Shared hosting environments where multiple websites share the same October CMS installation could also be affected, potentially impacting multiple users.

Pasos de Deteccióntraduciendo…

• php / server:

find /var/www/october/plugins/froala/ -name 'Froala.Editor.js' -exec grep -i 'eval(' {} + | less

• generic web:

curl -I https://your-october-cms-site.com/backend/ | grep Content-Type

Check for Content-Type headers that allow script execution.

Cronología del Ataque

2020-07-02Disclosure
disclosure
2020-07-02Patch
patch

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido

CISA KEVNO

Exposición en InternetAlta

EPSS

0.31% (54% percentil)

Vector CVSS

Software Afectado

Componenteoctober/backend

Proveedorosv

Rango afectadoCorregido en

>= 1.0.319, < 1.0.467 – >= 1.0.319, < 1.0.4671.0.320

1.0.3191.0.467

Clasificación de Debilidad (CWE)

CWE-79

Cronología

Reservado2019-12-30
Publicada2020-07-02
Modificada2026-03-13
EPSS actualizado2026-04-02

Parcheado -7 días tras la divulgación

Mitigación y Workarounds

La mitigación principal para CVE-2020-4061 es actualizar October CMS a la versión 1.0.467 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda aplicar el parche manual proporcionado en el repositorio de GitHub (https://github.com/octobercms/october/commit/b384954a29b89117e1c0d6035b3ede4f46df67c5). Este parche desactiva la funcionalidad vulnerable en el editor Froala. Como medida adicional, se recomienda revisar y limpiar cualquier contenido sospechoso que haya sido ingresado en el editor Froala antes de publicarlo. Después de aplicar el parche o actualizar, confirme que el editor Froala no permite la ejecución de código JavaScript malicioso al intentar pegar contenido de sitios web conocidos por contener código malicioso.

Cómo corregirlotraduciendo…

Actualice October CMS a la versión 1.0.467 o superior. Esta versión corrige la vulnerabilidad XSS que permite la ejecución de código malicioso al pegar contenido desde sitios web no confiables en el editor Froala.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2020-4061 — XSS in October CMS?