CVE-2024-29022

Xibo is an Open Source Digital Signage platform with a web content management system and Windows display player software. In affected versions some request headers are not correctly sanitised when stored in the session and display tables. These headers can be used to inject a malicious script into the session page to exfiltrate session IDs and User Agents. These session IDs / User Agents can subsequently be used to hijack active sessions. A malicious script can be injected into the display grid to exfiltrate information related to displays. Users should upgrade to version 3.3.10 or 4.0.9 which fix this issue. Customers who host their CMS with the Xibo Signage service have already received an upgrade or patch to resolve this issue regardless of the CMS version that they are running. Upgrading to a fixed version is necessary to remediate. Patches are available for earlier versions of Xibo CMS that are out of security support: 2.3 patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. 1.8 patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. There are no known workarounds for this issue.
Configurations

No configuration.

History

21 Nov 2024, 09:07

Type Values Removed Values Added
References () https://github.com/dasgarner/xibo-cms/commit/a81044e6ccdd92cc967e34c125bd8162432e51bc.diff - () https://github.com/dasgarner/xibo-cms/commit/a81044e6ccdd92cc967e34c125bd8162432e51bc.diff -
References () https://github.com/xibosignage/xibo-cms/commit/ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff - () https://github.com/xibosignage/xibo-cms/commit/ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff -
References () https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-xchw-pf2w-rpgq - () https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-xchw-pf2w-rpgq -
References () https://xibosignage.com/blog/security-advisory-2024-04 - () https://xibosignage.com/blog/security-advisory-2024-04 -

15 Apr 2024, 13:15

Type Values Removed Values Added
Summary
  • (es) Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenidos web y software de reproducción de pantalla de Windows. En las versiones afectadas, algunos encabezados de solicitud no se sanitizan correctamente cuando se almacenan en las tablas de sesión y visualización. Estos encabezados se pueden utilizar para inyectar un script malicioso en la página de la sesión para filtrar los ID de sesión y los agentes de usuario. Estos ID de sesión/agentes de usuario se pueden utilizar posteriormente para secuestrar sesiones activas. Se puede inyectar un script malicioso en la cuadrícula de visualización para filtrar información relacionada con las pantallas. Los usuarios deben actualizar a la versión 3.3.10 o 4.0.9, que soluciona este problema. Los clientes que alojan su CMS con el servicio Xibo Signage ya recibieron una actualización o parche para resolver este problema independientemente de la versión de CMS que estén ejecutando. Es necesario actualizar a una versión fija para solucionarlo. Hay parches disponibles para versiones anteriores de Xibo CMS que no cuentan con soporte de seguridad: parche 2.3 ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. Parche 1.8 a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. No se conocen workarounds para este problema.

12 Apr 2024, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-04-12 21:15

Updated : 2024-11-21 09:07


NVD link : CVE-2024-29022

Mitre link : CVE-2024-29022

CVE.ORG link : CVE-2024-29022


JSON object : View

Products Affected

No product.

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CWE-117

Improper Output Neutralization for Logs