Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu Kentico CMS
02 stycznia 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-12907
Data publikacji 02 stycznia 2025
Producent podatnego oprogramowania Kentico
Nazwa podatnego oprogramowania Kentico CMS
Podatne wersje 7
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Kentico CMS i koordynował proces ujawniania informacji.

W niewspieranej od 2016 roku wersji 7 oprogramowania Kentico CMS występuje podatność CVE-2024-12907 typu Reflected XSS (Cross-site Scripting). Modyfikacja jednego z parametrów wysyłanych w żądaniach GET do endpointa /CMSMessages/AccessDenied.aspx pozwala stworzyć link, który po kliknięciu przez użytkownika spowoduje uruchomienie skryptu w jego przeglądarce.

Testy wykonane na wersji 8 Kentico CMS nie wykazały występowania podatności. Według informacji pozyskanych od producenta, wersja 7 nie jest wspierana od 2016 roku i klientom zaleca się aktualizację oprogramowania do wyższej wersji.

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z zespołu Afine.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.