Katalog CVE

CVE-2020-37256

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Grav przed wersją 1.6.30 zawiera podatność na atak typu cross-site scripting w domyślnej konfiguracji bezpieczeństwa edytora stron wtyczki Admin. Uprzywilejowani użytkownicy z możliwością edycji stron mogą wstrzykiwać złośliwe skrypty, co pozwala na wykonanie dowolnego kodu i instalację złośliwych wtyczek w celu uzyskania dostępu do systemu.

Ocena ryzyka

Ryzyko dla organizacji obejmuje przejęcie kontroli nad systemem przez atakującego z uprawnieniami edytora stron, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania i dalszej eskalacji ataku.

Rekomendacja

Zaleca się natychmiastową aktualizację Grava do wersji 1.6.30 lub nowszej oraz przegląd uprawnień użytkowników z dostępem do edytora stron.

Oryginalny opis (angielski, źródło NVD)

Grav before 1.6.30 contains a cross-site scripting vulnerability in the Admin plugin page editor default security configuration. Privileged users with page editing capabilities can inject malicious scripts to execute arbitrary code and install malicious plugins for system access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS