October — это система управления контентом (CMS) и веб-платформа. Версии до 3.7.14 и 4.1.10 содержат уязвимость хранимого межсайтового скриптинга (XSS) в настройках внутреннего редактора. Поля «Классы разметки» (используемые для стилей абзацев, встроенных стилей, стилей таблиц и т. д.) не очищали ввод до допустимых символов имени класса CSS.
Вредоносные значения отображались в раскрывающихся меню редактора Froala в необработанном виде, что позволяло выполнять JavaScript, когда любой пользователь открывал RichEditor. Эксплуатация может привести к повышению привилегий, если суперпользователь открывает любой RichEditor во время обычного редактирования контента (например, редактирования сообщения в блоге) и требует аутентифицированного доступа к серверной части с разрешениями на настройки редактора. Эта проблема исправлена в версиях 3.7.14 и 4.1.10.
Чтобы обойти эту проблему, разрешите доступ к настройкам редактора только полностью доверенным администраторам.
Показать оригинальное описание (EN)
October is a Content Management System (CMS) and web platform. Versions prior to 3.7.14 and 4.1.10 contain a Stored Cross-Site Scripting (XSS) vulnerability in the Backend Editor Settings. The Markup Classes fields (used for paragraph styles, inline styles, table styles, etc.) did not sanitize input to valid CSS class name characters. Malicious values were rendered unsanitized in Froala editor dropdown menus, allowing JavaScript execution when any user opened a RichEditor. Exploitation could lead to privilege escalation if a superuser opens any RichEditor during routine content editing (e.g., editing a blog post), and requires authenticated backend access with editor settings permissions. This issue has been fixed in versions 3.7.14 and 4.1.10. To workaround this issue, restrict editor settings permissions to fully trusted administrators only
Характеристики атаки
Последствия
Строка CVSS v4.0