Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/06/2019
La vulnerabilidad reside en el componente ‘AdminURLFieldWidget’. Este es utilizado para la construcción de los campos url de los formularios del modo edición, y su fallo se debe a la falta de validación de la url introducida. Este fallo permitiría a un atacante introducir una URL maliciosa a través de este campo u otro vulnerable del sitio web para que se renderice el enlace con el XSS.
Para que se pueda explotar esta vulnerabilidad es requerido que un usuario con acceso administrador acceda a la edición del registro con la URL maliciosa y haga clic en el enlace adjunto al campo.
Versiones 2.2.2, la 2.1.9 y la 1.11.21 o anteriores
Referencias:CVE-2019-12308
Solución:Se han lanzado parches de seguridad para las versiones 2.2.2, la 2.1.9 y la 1.11.x, el resto de versiones afectadas deben actualizar o aplicar el parche por su cuenta. No recibirá actualizaciones la versión 2.0.x por no tener soporte desde abril.
Notas:Más información aquí.