一、 漏洞 CVE-2024-8660 基础信息
漏洞标题
"Top Navigator Bar"块中的存储型XSS
来源:AIGC 神龙大模型
漏洞描述信息
从Concrete CMS版本9.0.0到9.3.3受到影响的存储型跨站脚本(XSS)漏洞存在于“顶部导航栏”块中。由于“顶部导航栏”的输出没有得到充分的清理,恶意管理员可以添加恶意负载,当目标用户访问主页时,这些负载可以被执行。Concrete CMS安全团队为这个漏洞分配的CVSS v4得分为4.6,带向量CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N。此漏洞不适用于版本低于9.0.0的用户,因为他们没有“顶部导航栏”块。感谢Chu Quoc Khanh的报告。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Stored XSS in the "Top Navigator Bar" block
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Concrete CMS versions 9.0.0 through 9.3.3 are affected by a stored XSS vulnerability in the "Top Navigator Bar" block. Since the "Top Navigator Bar" output was not sufficiently sanitized, a rogue administrator could add a malicious payload that could be executed when targeted users visited the home page.The Concrete CMS Security Team gave this vulnerability a CVSS v4 score of 4.6 with vector CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N . This does not affect versions below 9.0.0 since they do not have the Top Navigator Bar Block. Thanks, Chu Quoc Khanh for reporting.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Concrete CMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Concrete CMS是Concrete CMS开源的一个面向团队的开源内容管理系统。 Concrete CMS 9.0.0至9.3.3版本存在安全漏洞,该漏洞源于输出清理不当,导致恶意管理员可以添加恶意负载,当目标用户访问首页时可能会执行该负载,容易受到跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8660 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-8660 的情报信息