CVE-2024-52305

UnoPim is an open-source Product Information Management (PIM) system built on the Laravel framework. A vulnerability exists in the Create User process, allowing the creation of a new admin account with an option to upload a profile image. An attacker can upload a malicious SVG file containing an embedded script. When the profile image is accessed, the embedded script executes, leading to the potential theft of session cookies. This vulnerability is fixed in 0.1.5.
Configurations

Configuration 1 (hide)

cpe:2.3:a:webkul:unopim:*:*:*:*:*:*:*:*

History

19 Nov 2024, 18:04

Type Values Removed Values Added
Summary
  • (es) UnoPim es un sistema de gestión de información de productos (PIM) de código abierto creado sobre el framework de trabajo Laravel. Existe una vulnerabilidad en el proceso de creación de usuario, que permite la creación de una nueva cuenta de administrador con una opción para cargar una imagen de perfil. Un atacante puede cargar un archivo SVG malicioso que contenga un script integrado. Cuando se accede a la imagen de perfil, se ejecuta el script integrado, lo que conduce al posible robo de cookies de sesión. Esta vulnerabilidad se solucionó en la versión 0.1.5.
First Time Webkul
Webkul unopim
References () https://github.com/unopim/unopim/commit/9a0da7a0892c60f58df2351b5a9498dcb4cb8b7a - () https://github.com/unopim/unopim/commit/9a0da7a0892c60f58df2351b5a9498dcb4cb8b7a - Patch
References () https://github.com/unopim/unopim/security/advisories/GHSA-cgr4-c233-h733 - () https://github.com/unopim/unopim/security/advisories/GHSA-cgr4-c233-h733 - Exploit, Third Party Advisory
CVSS v2 : unknown
v3 : 6.5
v2 : unknown
v3 : 4.8
CPE cpe:2.3:a:webkul:unopim:*:*:*:*:*:*:*:*

13 Nov 2024, 19:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 0.0
v2 : unknown
v3 : 6.5

13 Nov 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-13 16:15

Updated : 2024-11-19 18:04


NVD link : CVE-2024-52305

Mitre link : CVE-2024-52305

CVE.ORG link : CVE-2024-52305


JSON object : View

Products Affected

webkul

  • unopim
CWE
CWE-616

Incomplete Identification of Uploaded File Variables (PHP)

CWE-692

Incomplete Denylist to Cross-Site Scripting