CVE-2020-37256
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Grav przed wersją 1.6.30 zawiera podatność na atak typu cross-site scripting w domyślnej konfiguracji bezpieczeństwa edytora stron wtyczki Admin. Uprzywilejowani użytkownicy z możliwością edycji stron mogą wstrzykiwać złośliwe skrypty, co pozwala na wykonanie dowolnego kodu i instalację złośliwych wtyczek w celu uzyskania dostępu do systemu.
Ocena ryzyka
Ryzyko dla organizacji obejmuje przejęcie kontroli nad systemem przez atakującego z uprawnieniami edytora stron, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania i dalszej eskalacji ataku.
Rekomendacja
Zaleca się natychmiastową aktualizację Grava do wersji 1.6.30 lub nowszej oraz przegląd uprawnień użytkowników z dostępem do edytora stron.
Oryginalny opis (angielski, źródło NVD)
Grav before 1.6.30 contains a cross-site scripting vulnerability in the Admin plugin page editor default security configuration. Privileged users with page editing capabilities can inject malicious scripts to execute arbitrary code and install malicious plugins for system access.

