一、 漏洞 CVE-2024-28190 基础信息
漏洞标题
Contao核心包中的文件管理器存在跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Contao是一个开源的内容管理系统。从版本4.0.0开始,到版本4.13.40和5.3.4之前,用户在上传文件(后端和前端)时可以在文件名中注入恶意代码,然后在后端的工具提示和弹出窗口中执行该代码。Contao版本4.13.40和5.3.4对此问题有补丁修复。作为临时解决方法,可以从前端表单中删除上传字段,并禁用不可信后端用户的上传功能。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Contao core bundle vulnerable to cross site scripting in the file manager
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Contao is an open source content management system. Starting in version 4.0.0 and prior to version 4.13.40 and 5.3.4, users can inject malicious code in filenames when uploading files (back end and front end), which is then executed in tooltips and popups in the back end. Contao versions 4.13.40 and 5.3.4 have a patch for this issue. As a workaround, remove upload fields from frontend forms and disable uploads for untrusted back end users.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Contao 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Contao是一套采用PHP开发的开源内容管理系统(CMS)。该系统支持搜索引擎、权限管理和CSS框架等。 Contao 4.13.40版本之前的4.x版本和5.3.4版本之前的5.x版本存在安全漏洞,该漏洞源于用户可以在上传文件时在文件名中注入恶意代码,然后在后端的工具提示和弹出窗口中执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-28190 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-28190 的情报信息