漏洞标题
文件夹功能中由恶意管理员引起的存储型XSS漏洞
漏洞描述信息
Concrete CMS 版本 9.0.0 至 9.3.9 存在存储型 XSS 漏洞,该漏洞存在于文件夹功能中。“新增文件夹”功能缺乏输入验证,允许恶意管理员将 XSS 载荷作为文件夹名称进行注入。Concrete CMS 安全团队为此漏洞分配的 CVSS 4.0 评分为 4.8,向量为:CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N。版本低于 9 不受影响。感谢 Alfin Joseph 的报告。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Stored XSS in Folder Function by Rogue Admin
漏洞描述信息
Concrete CMS versions 9.0.0 through 9.3.9 are affected by a stored XSS in Folder Function.The "Add Folder" functionality lacks input sanitization, allowing a rogue admin to inject XSS payloads as folder names. The Concrete CMS security team gave this vulnerability a CVSS 4.0 Score of 4.8 with vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N. Versions below 9 are not affected. Thanks, Alfin Joseph for reporting.
CVSS信息
N/A
漏洞类别
输入验证不恰当