Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu Eura7 CMSmanager
27 stycznia 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-11348
Data publikacji 27 stycznia 2025
Producent podatnego oprogramowania Eura7
Nazwa podatnego oprogramowania CMSmanager
Podatne wersje Wszystkie do 4.6 włącznie bez zastosowanego patcha 17012022
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Eura7 CMSmanager i koordynował proces ujawniania informacji.

Podatność CVE-2024-11348 umożliwia przeprowadzenie ataków typu Reflected XSS (Cross-site Scripting). Modyfikacja parametru return wysyłanego w żądaniach GET do jednego z endpointów pozwala stworzyć link, który po kliknięciu przez użytkownika spowoduje uruchomienie skryptu w jego przeglądarce.

Podatność została usunięta przez patch o identyfikatorze 17012022, który adresowany jest do wszystkich podatnych wersji tego oprogramowania (do 4.6 włącznie).

Podziękowania

Za zgłoszenie podatności dziękujemy Sebastianowi Jeżowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.