Plataforma
php
Componente
flusity-cms
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema de gestión de contenido (CMS) flusity CMS. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. Debido a la política de lanzamientos continuos de flusity CMS, las versiones afectadas no se han especificado. Se recomienda aplicar el parche 6943991c62ed87c7a57989a0cb7077316127def8.
La vulnerabilidad XSS en flusity CMS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. El impacto potencial es significativo, especialmente si la aplicación se utiliza para manejar información sensible o si tiene acceso a sistemas críticos. Un atacante podría, por ejemplo, robar credenciales de inicio de sesión o modificar el contenido de la página para engañar a los usuarios.
La vulnerabilidad ha sido divulgada públicamente el 27 de octubre de 2023. No se ha confirmado la explotación activa en campañas dirigidas, pero la disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de explotación. La baja puntuación CVSS (2.4) indica un riesgo relativamente bajo, pero la facilidad de explotación podría hacer que sea un objetivo atractivo para atacantes con recursos limitados.
Organizations and individuals using flusity CMS are at risk, particularly those who haven't implemented a robust update process. Shared hosting environments where multiple users share the same CMS installation are also at increased risk, as a compromise of one user's account could potentially affect others.
• php / web:
grep -r "loadPostAddForm" /var/www/flusity-cms/• php / web:
curl -I https://your-flusity-cms-site.com/core/tools/posts.php?edit_post_id=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
Vector CVSS
Dado que flusity CMS utiliza lanzamientos continuos, no se proporciona una versión específica para actualizar. La mitigación principal es aplicar el parche 6943991c62ed87c7a57989a0cb7077316127def8 tan pronto como esté disponible. Como medida temporal, se recomienda implementar políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en el navegador. Además, se debe monitorear cuidadosamente los registros de la aplicación en busca de actividad sospechosa, como solicitudes inusuales o modificaciones inesperadas en el contenido de la página. Después de aplicar el parche, confirmar la mitigación revisando el código fuente de core/tools/posts.php para verificar que el argumento editpostid se esté validando correctamente.
Aplicar el parche con identificador 6943991c62ed87c7a57989a0cb7077316127def8 proporcionado por el proveedor. Debido a que se trata de rolling releases, se recomienda actualizar a la última versión disponible o aplicar el parche manualmente si es posible. Verificar que la entrada `edit_post_id` esté correctamente sanitizada para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5810 is a cross-site scripting (XSS) vulnerability in flusity CMS that allows attackers to inject malicious scripts by manipulating the editpostid parameter. It has a LOW severity rating (CVSS 2.4).
If you are using flusity CMS and have not applied the patch 6943991c62ed87c7a57989a0cb7077316127def8, you are potentially affected due to the rolling release model.
Apply the provided patch 6943991c62ed87c7a57989a0cb7077316127def8 to update your flusity CMS installation. Regularly check for updates as part of your security practices.
There are currently no confirmed reports of active exploitation, but the vulnerability has been publicly disclosed, so exploitation is possible.
Refer to the flusity CMS website or their official communication channels for the latest advisory regarding CVE-2023-5810.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.