CVE-2024-47819

Umbraco, a free and open source .NET content management system, has a cross-site scripting vulnerability starting in version 14.0.0 and prior to versions 14.3.1 and 15.0.0. This can be leveraged to gain access to higher-privilege endpoints, e.g. if you get a user with admin privileges to run the code, you can potentially elevate all users and grant them admin privileges or access protected content. Versions 14.3.1 and 15.0.0 contain a patch. As a workaround, ensure that access to the Dictionary section is only granted to trusted users.
Configurations

Configuration 1 (hide)

cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*

History

25 Oct 2024, 14:24

Type Values Removed Values Added
First Time Umbraco umbraco Cms
Umbraco
CPE cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*
Summary (es) Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a puntos finales con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza. (es) Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a endpoints con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza.
References () https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-c5g6-6xf7-qxp3 - () https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-c5g6-6xf7-qxp3 - Vendor Advisory
CVSS v2 : unknown
v3 : 4.2
v2 : unknown
v3 : 8.7

23 Oct 2024, 15:12

Type Values Removed Values Added
Summary
  • (es) Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a puntos finales con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza.

22 Oct 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-22 16:15

Updated : 2024-10-25 14:24


NVD link : CVE-2024-47819

Mitre link : CVE-2024-47819

CVE.ORG link : CVE-2024-47819


JSON object : View

Products Affected

umbraco

  • umbraco_cms
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')