СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
13.11.2024
#Dev#ИБ

Уязвимость BDU:2024-10863

Уязвимость BDU:2024-10863

Идентификатор: BDU:2024-10863.

Наименование уязвимости: Уязвимость программной платформы для управления контентом Django CMS, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS).

Описание уязвимости: Уязвимость программной платформы для управления контентом Django CMS связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS)
Уязвимое ПО: Прикладное ПО информационных систем Django Software Foundation Django CMS 3.11.7 | Прикладное ПО информационных систем Django Software Foundation Django CMS 3.11.8 | Прикладное ПО информационных систем Django Software Foundation Django CMS 4.1.2 | Прикладное ПО информационных систем Django Software Foundation Django CMS 4.1.3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 13.11.2024.
CVSS 2.0: AV:A/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/django-cms/django-cms/commit/241d1cbe47a68f5d271ce4d27ad5e32e2c360ec3
https://www.django-cms.org/en/blog/2024/11/13/django-cms-security-update/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-11319.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/django-cms/django-cms/commit/241d1cbe47a68f5d271ce4d27ad5e32e2c360ec3
https://iltosec.com/blog/post/django-cms-413-stored-xss-vulnerability-exploiting-the-page-title-field/
https://www.django-cms.org/en/blog/2024/11/13/django-cms-security-update/
https://www.usom.gov.tr/bildirim/tr-24-1859

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: