Statamic — это система управления контентом (CMS) на базе Laravel и Git. До версий 5.73.14 и 6.7.0 сохраненная XSS-уязвимость при повторной загрузке ресурсов SVG позволяла прошедшим проверку подлинности пользователям с разрешениями на загрузку ресурсов обходить очистку SVG и внедрять вредоносный код JavaScript, который выполняется при просмотре ресурса. Это исправлено в версиях 5.73.14 и 6.7.0.
Показать оригинальное описание (EN)
Statamic is a Laravel and Git powered content management system (CMS). Prior to versions 5.73.14 and 6.7.0, a stored XSS vulnerability in SVG asset reuploads allows authenticated users with asset upload permissions to bypass SVG sanitization and inject malicious JavaScript that executes when the asset is viewed. This has been fixed in 5.73.14 and 6.7.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
— |
5.73.14
|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
6.0.0
|
6.7.0
|