Plataforma
php
Componente
concrete5/core
Corregido en
8.5.9
9.1.0
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente core de concrete5, específicamente en la ruta /dashboard/blocks/stacks/view_details/. Esta vulnerabilidad afecta a versiones anteriores o iguales a 9.0.2 y se explota en navegadores antiguos con protección XSS deshabilitada. El equipo de seguridad de Concrete CMS ha clasificado esta vulnerabilidad como de baja severidad (CVSS 3.1).
Un atacante podría aprovechar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web de concrete5, afectando a usuarios que utilicen navegadores antiguos sin protección XSS activa. El impacto principal es la ejecución de código arbitrario en el contexto del usuario afectado, lo que podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página. Aunque la protección XSS automática en navegadores modernos mitiga el riesgo, las versiones antiguas de navegadores siguen siendo vulnerables.
Esta vulnerabilidad fue publicada el 25 de junio de 2022. No se ha reportado explotación activa en campañas conocidas. La baja severidad (CVSS 3.1) y la necesidad de navegadores antiguos sin protección XSS reducen la probabilidad de explotación generalizada. No se encuentra en el KEV de CISA.
Organizations and individuals still using older web browsers (e.g., Internet Explorer) with XSS protection disabled are particularly at risk. Shared hosting environments running vulnerable Concrete5 installations are also a concern, as attackers could potentially exploit the vulnerability through other tenants on the same server.
• wordpress / composer / npm:
grep -r "built urls" /var/www/concrete5/dashboard/blocks/stacks/view_details/• generic web:
curl -I https://your-concrete5-site.com/dashboard/blocks/stacks/view_details/ | grep -i "x-xss-protection"• generic web:
Check browser developer console for unexpected JavaScript execution when navigating to /dashboard/blocks/stacks/view_details/.
disclosure
Estado del Exploit
EPSS
1.25% (79% percentil)
Vector CVSS
La solución recomendada es actualizar concrete5 a la versión 9.1.0 o superior, donde se ha implementado una sanitización adecuada para prevenir la inyección de scripts. Como medida temporal, se puede considerar deshabilitar la funcionalidad afectada en la ruta /dashboard/blocks/stacks/view_details/ si no es esencial. Aunque no es una solución completa, puede reducir la superficie de ataque. Verificar que todos los navegadores utilizados para acceder al panel de administración estén actualizados con las últimas medidas de seguridad.
Actualice Concrete CMS a la versión 8.5.8 o superior, o a la versión 9.1.0 o superior. Esto corrige la vulnerabilidad XSS en navegadores antiguos. La actualización eliminará la posibilidad de que se explote la vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-30120 is a cross-site scripting (XSS) vulnerability affecting Concrete5 core versions up to 9.0.2, exploitable in older browsers with disabled XSS protection.
If you are running Concrete5 core version 9.0.2 or earlier, and your users are using older browsers with XSS protection disabled, you are potentially affected.
Upgrade Concrete5 core to version 9.1.0 or later to remediate the vulnerability. Restricting access to the vulnerable endpoint is a temporary workaround.
As of now, there are no known public exploits or active campaigns targeting CVE-2022-30120.
Refer to the Concrete5 security advisory for detailed information and updates: https://docs.concretecms.com/news/security/concrete5-security-advisory-xss-in-view-details
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.