Plataforma
php
Componente
flusity-cms
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema de gestión de contenido (CMS) flusity CMS. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en la función loadCustomBlocCreateForm del archivo /core/tools/customblock.php y afecta a todas las versiones del CMS, dado que no utiliza versionamiento. Se recomienda aplicar el parche proporcionado para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto es particularmente grave en entornos donde flusity CMS se utiliza para gestionar información sensible o para procesar transacciones financieras. La inyección de scripts podría permitir a un atacante suplantar la identidad de un usuario legítimo y realizar acciones en su nombre, como modificar datos o acceder a información confidencial. La falta de versionamiento en flusity CMS complica la gestión de parches y la identificación de sistemas vulnerables.
La vulnerabilidad ha sido divulgada públicamente el 26 de octubre de 2023. No se ha confirmado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La disponibilidad pública de la vulnerabilidad aumenta el riesgo de explotación, especialmente en sistemas no parcheados. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa.
Organizations and individuals using flusity CMS are at risk. The lack of versioning means all installations are potentially vulnerable until the patch is applied. Shared hosting environments using flusity CMS are particularly vulnerable as they may lack the ability to easily apply patches.
• php / web:
grep -r 'customblock_place' /var/www/flusity-cms/• generic web:
curl -I http://your-flusity-cms-site.com/core/tools/customblock.php?customblock_place=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es la aplicación del parche proporcionado por el desarrollador: 81252bc764e1de2422e79e36194bba1289e7a0a5. Dado que flusity CMS no utiliza versionamiento, no es posible realizar un rollback a una versión anterior. Como medida temporal, se recomienda implementar reglas en un Web Application Firewall (WAF) o proxy para filtrar solicitudes que contengan caracteres sospechosos en el parámetro customblock_place. Además, se debe revisar el código fuente de flusity CMS para identificar y corregir cualquier otra instancia de código vulnerable a XSS. Después de aplicar el parche, verifique la funcionalidad de la página /core/tools/customblock.php para confirmar que la vulnerabilidad ha sido resuelta.
Se recomienda aplicar el parche 81252bc764e1de2422e79e36194bba1289e7a0a5 proporcionado por el proveedor para corregir la vulnerabilidad XSS en el dashboard. Descargue el parche desde el repositorio oficial y aplíquelo siguiendo las instrucciones del proveedor. Verifique que la versión parcheada esté en funcionamiento para evitar futuros ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5793 is a cross-site scripting vulnerability in flusity CMS that allows attackers to inject malicious scripts. It affects the loadCustomBlocCreateForm function and can be exploited remotely.
Due to the lack of versioning in flusity CMS, all installations are potentially affected by CVE-2023-5793 until the provided patch is applied.
Apply the patch 81252bc764e1de2422e79e36194bba1289e7a0a5. This is the only known remediation for this vulnerability.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation has not been confirmed, but it is a high probability.
Refer to the CVE entry on the NVD website for details: https://nvd.nist.gov/vuln/detail/CVE-2023-5793
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.