CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2022-31114

MediumCVSS 5.1
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.06%

19th percentile - higher than 19% of all known CVEs

Summary

Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.

Risk Assessment

Organizacja może być narażona na ataki phishingowe, które mogą skutkować utratą danych lub nieautoryzowanym dostępem do systemów. W przypadku wykorzystania tej podatności, atakujący może zdobyć cenne informacje lub dostęp do kont administracyjnych.

Recommendation

Zaleca się aktualizację do wersji 5.0.13, 4.1.69 lub 4.0.63, które naprawiają tę podatność. Alternatywnie, należy ręcznie zmodyfikować widoki błędów w `resources/views/errors`, aby używać `e($exception->getMessage())` zamiast `$exception->getMessage()`.

Original NVD description (English source)

backpack/crud provides Create, Read, Update & Delete (CRUD) functions for Backpack, a collection of Laravel packages that help users build custom administration panels. Versions prior to 5.0.13, 4.1.69, and 4.0.63 are vulnerable to cross-site scripting. An attacker could conduct a targeted phishing campaign, in order to trick users or admins into clicking a malicious link, which under very specific circumstances could give them information or possibly admin access. Versions 5.0.13, 4.1.69, and 4.0.63 patch the issue. As a workaround, manually look inside error views in `resources/views/errors` and output `e($exception->getMessage())` instead of `$exception->getMessage()`.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS