CVE-2024-47819

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-47819
Umbraco, a free and open source .NET content management system, has a cross-site scripting vulnerability starting in version 14.0.0 and prior to versions 14.3.1 and 15.0.0. This can be leveraged to gain access to higher-privilege endpoints, e.g. if you get a user with admin privileges to run the code, you can potentially elevate all users and grant them admin privileges or access protected content. Versions 14.3.1 and 15.0.0 contain a patch. As a workaround, ensure that access to the Dictionary section is only granted to trusted users.

8.7 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 5.8

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-c5g6-6xf7-qxp3 Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*
History

25 Oct 2024, 14:24

Type Values Removed Values Added
References () https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-c5g6-6xf7-qxp3 - () https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-c5g6-6xf7-qxp3 - Vendor Advisory
CPE cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*
CVSS v2 : unknown
v3 : 4.2 		v2 : unknown
v3 : 8.7
First Time Umbraco
Umbraco umbraco Cms
Summary (es) Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a puntos finales con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza. (es) Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a endpoints con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza.

23 Oct 2024, 15:12

Type Values Removed Values Added
Summary
  • (es) Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a puntos finales con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza.

22 Oct 2024, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-10-22 16:15

Updated : 2024-10-25 14:24

NVD link : CVE-2024-47819

Mitre link : CVE-2024-47819

CVE.ORG link : CVE-2024-47819

JSON object : View

Products Affected

umbraco

  • umbraco_cms
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')