CVE-2022-31114
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.
Ocena ryzyka
Organizacja może być narażona na ataki phishingowe, które mogą skutkować utratą danych lub nieautoryzowanym dostępem do systemów. W przypadku wykorzystania tej podatności, atakujący może zdobyć cenne informacje lub dostęp do kont administracyjnych.
Rekomendacja
Zaleca się aktualizację do wersji 5.0.13, 4.1.69 lub 4.0.63, które naprawiają tę podatność. Alternatywnie, należy ręcznie zmodyfikować widoki błędów w `resources/views/errors`, aby używać `e($exception->getMessage())` zamiast `$exception->getMessage()`.
Oryginalny opis (angielski, źródło NVD)
backpack/crud provides Create, Read, Update & Delete (CRUD) functions for Backpack, a collection of Laravel packages that help users build custom administration panels. Versions prior to 5.0.13, 4.1.69, and 4.0.63 are vulnerable to cross-site scripting. An attacker could conduct a targeted phishing campaign, in order to trick users or admins into clicking a malicious link, which under very specific circumstances could give them information or possibly admin access. Versions 5.0.13, 4.1.69, and 4.0.63 patch the issue. As a workaround, manually look inside error views in `resources/views/errors` and output `e($exception->getMessage())` instead of `$exception->getMessage()`.

