Plateforme
php
Composant
concretecms
Corrigé dans
9.2.5
La vulnérabilité CVE-2024-1247 affecte la bibliothèque Picklescan, exploitant l'utilisation de _operator.methodcaller pour exécuter du code à distance via des fichiers pickle. Cette faille permet à un attaquant d'injecter et d'exécuter du code malveillant sur le système de la victime. Les versions concernées sont celles inférieures ou égales à 0.0.9, et une version corrigée (0.0.34) est disponible.
La vulnérabilité CVE-2024-1247 affecte Concrete CMS versions antérieures à 9.2.5, exposant le système à une attaque de Cross-Site Scripting (XSS) stocké. Cette faille se situe dans le champ 'Nom du Rôle' lors de l'administration des rôles utilisateur. Un administrateur malveillant pourrait injecter du code malicieux dans ce champ, qui s'exécuterait lorsque d'autres utilisateurs visitent les pages affectées. La gravité de ce problème est modérée, car il nécessite des privilèges d'administrateur pour être exploité, mais l'impact pourrait être l'exécution de scripts malicieux dans le navigateur d'autres utilisateurs, compromettant potentiellement la confidentialité et l'intégrité des informations. Il est crucial de mettre à jour vers la version 9.2.5 pour atténuer ce risque. Les versions antérieures à la 9 ne sont pas affectées.
La vulnérabilité est exploitée en injectant du code JavaScript malicieux dans le champ 'Nom du Rôle' lors de l'administration des rôles. Un administrateur ayant accès au panneau d'administration peut modifier ce champ et enregistrer le rôle avec le code malicieux. Lorsque l'utilisateur (ou même l'administrateur qui l'a créé) visite une page où le nom du rôle est affiché, le code JavaScript s'exécute dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant de réaliser des actions telles que le vol de cookies, le renvoi vers des sites malveillants ou la modification du contenu de la page. La complexité de l'exploitation est modérée, car elle nécessite un accès administratif, mais l'impact peut être important.
Statut de l'Exploit
EPSS
8.20% (percentile 92%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2024-1247 est simple : mettre à jour Concrete CMS vers la version 9.2.5 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour valider correctement les données saisies dans le champ 'Nom du Rôle', empêchant l'injection de code malicieux. Il est recommandé d'appliquer cette mise à jour dès que possible, en particulier dans les environnements de production. De plus, examinez les rôles utilisateur existants pour vérifier si un nom de rôle a pu être compromis. L'application régulière de correctifs de sécurité est une pratique fondamentale pour maintenir la sécurité de tout système CMS.
Actualice Concrete CMS a la versión 9.2.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en el campo 'Role Name'. La actualización se puede realizar a través del panel de administración de Concrete CMS o descargando la última versión del sitio web oficial.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
XSS stocké (ou persistant) signifie que le script malveillant est stocké sur le serveur (par exemple, dans une base de données) et s'exécute chaque fois qu'un utilisateur accède à la page affectée.
Si vous utilisez une version de Concrete CMS antérieure à 9.2.5, votre site est vulnérable. Effectuez la mise à jour dès que possible.
Si vous suspectez que votre site a été compromis, modifiez immédiatement les mots de passe de tous les administrateurs et effectuez un audit de sécurité complet.
En plus de la mise à jour, mettez en œuvre des politiques de sécurité robustes, formez les administrateurs aux meilleures pratiques de sécurité et utilisez des outils de sécurité pour détecter et prévenir les attaques.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.