October — это система управления контентом (CMS) и веб-платформа. Версии до 3.7.14 и 4.1.10 содержат уязвимость хранимого межсайтового скриптинга (XSS) в логике очистки SVG. Шаблон регулярного выражения, используемый для удаления атрибутов обработчика событий (таких как onclick или onload), можно обойти с помощью созданной полезной нагрузки, которая использует то, как шаблон соответствует границам атрибутов, позволяя загружать вредоносные файлы SVG через Media Manager со встроенным JavaScript.
Эксплуатация может привести к повышению привилегий, если суперпользователь просматривает или встраивает вредоносный SVG и требует аутентифицированного доступа к серверной части с разрешениями на загрузку мультимедиа. SVG необходимо просмотреть или внедрить в страницу, чтобы полезная нагрузка сработала. Эта проблема исправлена в версиях 3.7.14 и 4.1.10.
Показать оригинальное описание (EN)
October is a Content Management System (CMS) and web platform. Versions prior to 3.7.14 and 4.1.10 contain a stored cross-site scripting (XSS) vulnerability in the SVG sanitization logic. The regex pattern used to strip event handler attributes (such as onclick or onload) could be bypassed using a crafted payload that exploits how the pattern matches attribute boundaries, allowing malicious SVG files to be uploaded through the Media Manager with embedded JavaScript. Exploitation could lead to privilege escalation if a superuser views or embeds the malicious SVG, and requires authenticated backend access with media upload permissions. The SVG must be viewed or embedded in a page for the payload to trigger. This issue has been fixed in versions 3.7.14 and 4.1.10.
Характеристики атаки
Последствия
Строка CVSS v4.0