Platform
php
Component
concretecms
Opgelost in
9.2.5
CVE-2024-1247 is een Remote Code Execution (RCE) kwetsbaarheid in de Picklescan library. Deze kwetsbaarheid ontstaat doordat Picklescan de functie _operator.methodcaller gebruikt om remote pickle bestanden uit te voeren, wat misbruikt kan worden om code uit te voeren. De kwetsbaarheid treft versies van Picklescan tot en met 0.0.9, maar is verholpen in versie 0.0.34.
CVE-2024-1247 heeft betrekking op Concrete CMS-versies vóór 9.2.5 en maakt het systeem kwetsbaar voor een opgeslagen Cross-Site Scripting (XSS)-aanval. Deze kwetsbaarheid bevindt zich in het veld 'Rolnaam' bij het beheren van gebruikersrollen. Een kwaadwillende beheerder kan kwaadaardige code in dit veld injecteren, die wordt uitgevoerd wanneer andere gebruikers de getroffen pagina's bezoeken. De ernst van dit probleem is matig, omdat het beheerdersrechten vereist om het uit te buiten, maar de impact kan de uitvoering van kwaadaardige scripts in de browser van andere gebruikers zijn, waardoor mogelijk de vertrouwelijkheid en integriteit van informatie in gevaar komt. Het is cruciaal om te updaten naar versie 9.2.5 om dit risico te beperken. Versies onder 9 worden niet beïnvloed.
De kwetsbaarheid wordt uitgebuit door kwaadaardige JavaScript-code in het veld 'Rolnaam' bij het beheren van rollen te injecteren. Een beheerder met toegang tot het beheerderspaneel kan dit veld wijzigen en de rol met de kwaadaardige code opslaan. Wanneer een gebruiker (of zelfs de beheerder die hem heeft gemaakt) een pagina bezoekt waarop de rollennaam wordt weergegeven, wordt de JavaScript-code in de context van de browser van de gebruiker uitgevoerd, waardoor de aanvaller acties kan uitvoeren, zoals het stelen van cookies, doorverwijzen naar kwaadaardige websites of het wijzigen van de inhoud van de pagina. De complexiteit van de exploitatie is matig, omdat beheerdersrechten vereist zijn, maar de impact kan aanzienlijk zijn.
Exploit Status
EPSS
8.20% (92% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2024-1247 is eenvoudig: update Concrete CMS naar versie 9.2.5 of hoger. Deze update bevat de nodige fixes om de gegevens die in het veld 'Rolnaam' worden ingevoerd, correct te valideren en zo de injectie van kwaadaardige code te voorkomen. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen, vooral in productieomgevingen. Controleer bovendien bestaande gebruikersrollen om te controleren of een rollennaam mogelijk is gecompromitteerd. Het regelmatig toepassen van beveiligingspatches is een fundamentele praktijk om de veiligheid van elk CMS-systeem te waarborgen.
Actualice Concrete CMS a la versión 9.2.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en el campo 'Role Name'. La actualización se puede realizar a través del panel de administración de Concrete CMS o descargando la última versión del sitio web oficial.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingslek dat aanvallers in staat stelt kwaadaardige scripts in webpagina's te injecteren die door andere gebruikers worden bekeken.
Opgeslagen (of persistent) XSS betekent dat het kwaadaardige script op de server wordt opgeslagen (bijvoorbeeld in een database) en elke keer wordt uitgevoerd wanneer een gebruiker de getroffen pagina bezoekt.
Als u een versie van Concrete CMS gebruikt vóór 9.2.5, is uw site kwetsbaar. Voer de update zo snel mogelijk uit.
Als u vermoedt dat uw site is gecompromitteerd, wijzigt u onmiddellijk de wachtwoorden van alle beheerders en voert u een uitgebreid beveiligingsaudit uit.
Naast het updaten, implementeert u robuuste beveiligingsbeleid, informeert u beheerders over best practices op het gebied van beveiliging en gebruikt u beveiligingstools om aanvallen te detecteren en te voorkomen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.