一、 漏洞 CVE-2023-2332 基础信息
漏洞标题
Pimcore软件存储型跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在pimcore/pimcore版本10.5.19的定价规则条件标签中存在一处存储型跨站脚本(XSS)漏洞。该漏洞存在于日期范围部分的“从”和“到”字段中,允许攻击者注入恶意脚本。这可能导致用户浏览器上下文中执行任意JavaScript代码,从而可能窃取用户cookie或将用户重定向至恶意网站。该问题已在版本10.5.21中得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Stored Cross-site Scripting (XSS) in pimcore/pimcore
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A stored Cross-site Scripting (XSS) vulnerability exists in the Conditions tab of Pricing Rules in pimcore/pimcore versions 10.5.19. The vulnerability is present in the From and To fields of the Date Range section, allowing an attacker to inject malicious scripts. This can lead to the execution of arbitrary JavaScript code in the context of the user's browser, potentially stealing cookies or redirecting users to malicious sites. The issue is fixed in version 10.5.21.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Pimcore 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore 10.5.19版本存在跨站脚本漏洞。攻击者利用该漏洞可以在用户浏览器中执行任意 JavaScript 代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-2332 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-2332 的情报信息
-
-
标题: Fix XSS in Conditions tab of Pricing Rules (#14963) · pimcore/pimcore@a449155 · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2023-2332