CVE 2020-26046 y 2020-26045

vulnerabilidad

Vulnerabilidad CVE 2020-26046 y CVE 2020-26045 en FUEL CMS

CVE 2020-26046: FUEL CMS 1.4.11 ha almacenado XSS en variables Bloques / Navegación / Sitio. Esto podría provocar el robo de cookies y otras acciones maliciosas. Esta vulnerabilidad se puede aprovechar con una cuenta autenticada y también afectar a otros visitantes.

CVE 2020-26045:FUEL CMS 1.4.11 permite la inyección SQL a través del parámetro 'nombre' en / fuel / permissions / create /. Aprovechar este problema podría permitir a un atacante poner en peligro la aplicación, acceder o modificar datos o explotar vulnerabilidades latentes en la base de datos subyacente.

Funcionamiento

Xss almacenado en el nombre de los bloques Actualice la página, se activará debajo del menú "Visto recientemente". Portada: carga útil: "onmousemove =" alerta (1)

Xss almacenado en la carga útil de la etiqueta de navegación : "onmousemove =" alerta (/ Nav /)

Xss almacenado en la carga útil del nombre de las variables del sitio : "onmousemove =" alert (/ site /)

Referencias:

https://getfuelcms.com/

https://github.com/daylightstudio/FUEL-CMS/issues/574

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-01-06. Fecha publicación el 2021-01-06. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST