Plataforma
php
Componente
baserproject/basercms
Corrigido em
5.2.4
5.2.3
CVE-2026-32734 descreve uma vulnerabilidade de Cross-Site Scripting (XSS) baseada em DOM no baserCMS. Essa falha permite que um atacante execute JavaScript malicioso ao criar uma tag, comprometendo a segurança do sistema. A vulnerabilidade afeta versões do baserCMS 5.2.2 e anteriores. A correção está disponível na versão 5.2.3.
A vulnerabilidade CVE-2026-32734 no basercms afeta versões 5.2.2 e anteriores, permitindo a execução de código JavaScript malicioso através da criação de tags. Esta é uma vulnerabilidade de Cross-Site Scripting (XSS) baseada no DOM. Um atacante pode injetar código JavaScript em uma tag, que então será executado no navegador de um usuário que visitar a página contendo essa tag. Isso pode permitir que o atacante roube cookies, redirecione o usuário para sites maliciosos ou execute outras ações maliciosas em nome do usuário. A severidade desta vulnerabilidade é classificada como 7.1 de acordo com o CVSS, indicando um risco moderado a alto.
A vulnerabilidade é explorada ao criar uma tag no basercms e injetar código JavaScript malicioso no campo de texto da tag. Quando um usuário visita a página contendo esta tag, o código JavaScript é executado no navegador dele. O atacante pode usar essa técnica para obter informações confidenciais do usuário ou para realizar ações não autorizadas.
Organizations and individuals using baserproject/basercms version 5.2.2 or earlier are at risk. This includes websites and applications built on basercms, particularly those with user-generated content or public-facing tag creation features. Shared hosting environments utilizing basercms are also at increased risk due to potential cross-tenant contamination.
• php: Examine basercms tag creation forms for suspicious input. Use grep to search for potentially malicious JavaScript code within the tag content.
grep -r 'alert\(' /var/www/basercms/application/views• generic web: Monitor access logs for requests to tag creation endpoints with unusual parameters. Check response headers for signs of JavaScript injection.
curl -I https://example.com/basercms/tags/create | grep Content-Type• generic web: Use a web vulnerability scanner to identify XSS vulnerabilities in the tag creation functionality.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução recomendada para mitigar esta vulnerabilidade é atualizar o basercms para a versão 5.2.3 ou superior. Esta versão inclui uma correção que impede a injeção de código JavaScript malicioso durante a criação de tags. Recomenda-se aplicar esta atualização o mais rápido possível para proteger seu site de possíveis ataques. Consulte a página de segurança do basercms (https://basercms.net/security/JVN_94952030) para obter instruções detalhadas sobre como atualizar. Além disso, é crucial revisar e limpar quaisquer tags existentes que possam ter sido comprometidas.
Actualice baserCMS a la versión 5.2.3 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. Puede descargar la última versión desde el sitio web oficial o actualizar a través del panel de administración.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Se você estiver usando uma versão do basercms anterior à 5.2.3, seu site está vulnerável. Realize uma auditoria de segurança para identificar tags potencialmente comprometidas.
Atualize imediatamente para a versão 5.2.3 ou superior. Revise os logs do servidor e os bancos de dados em busca de atividades suspeitas. Considere contratar um profissional de segurança para realizar uma avaliação completa.
Se você não puder atualizar imediatamente, implemente medidas de segurança adicionais, como validação e sanitização da entrada do usuário e o uso de Política de Segurança de Conteúdo (CSP).
A vulnerabilidade foi descoberta por quanlna2 (Le Nguyen Anh Quan), namdi (Do Ich Nam), minhnn42 (Nguyen Ngoc Minh) e VCSLab - Viettel Cyber Security.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.