flusity CMS core/tools/posts.php loadPostAddForm menu_id Script de Site Cruzado
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.1 | $0-$5k | 1.86 |
Sumário
Uma vulnerabilidade foi encontrada em flusity CMS. Foi declarada como problemático. A função afetada é loadPostAddForm do arquivo core/tools/posts.php. A utilização do parâmetro menu_id pode causar Script de Site Cruzado.
Esta vulnerabilidade está registrada como CVE-2023-5811. Existe a possibilidade de executar o ataque de forma remota. Além do mais, um exploit está disponível.
Este produto opera em rolling release para fornecer atualizações contínuas. Dessa forma, não há dados de versões afetadas ou atualizadas. É aconselhável instalar um patch para solucionar este problema.
Detalhes
Uma vulnerabilidade foi encontrada em flusity CMS. Foi declarada como problemático. A função afetada é loadPostAddForm do arquivo core/tools/posts.php. A utilização do parâmetro menu_id pode causar Script de Site Cruzado. Ao utilizar CWE para declarar o problema, isso direciona para CWE-79. A falha foi publicada 26/10/2023. O boletim está compartilhado para download em github.com.
Esta vulnerabilidade está registrada como CVE-2023-5811. Existe a possibilidade de executar o ataque de forma remota. Os detalhes técnicos podem ser consultados. Esta vulnerabilidade tem popularidade abaixo da média. Além do mais, um exploit está disponível. O exploit está disponível publicamente e pode ser explorado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK utiliza a técnica de ataque T1059.007 para esta edição.
Foi declarado como prova de conceito. A exploração está disponível em github.com. Como 0-day, o preço estimado no mercado clandestino era em torno de $0-$5k.
Este produto opera em rolling release para fornecer atualizações contínuas. Dessa forma, não há dados de versões afetadas ou atualizadas. O nome do patch é 6943991c62ed87c7a57989a0cb7077316127def8. O bugfix está pronto para download em github.com. É aconselhável instalar um patch para solucionar este problema.
Produto
Tipo
Fabricante
Nome
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 3.2VulDB Meta Pontuação Temporária: 3.1
VulDB Pontuação Base: 2.4
VulDB Pontuação Temporária: 2.2
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 4.8
NVD Vetor: 🔍
CNA Pontuação Base: 2.4
CNA Vetor (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Script de Site CruzadoCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo 0-dia: 🔍
Patch: 6943991c62ed87c7a57989a0cb7077316127def8
Linha do tempo
26/10/2023 🔍26/10/2023 🔍
26/10/2023 🔍
21/04/2025 🔍
Fontes
Aconselhamento: 6943991c62ed87c7a57989a0cb7077316127def8Estado: Confirmado
CVE: CVE-2023-5811 (🔍)
GCVE (CVE): GCVE-0-2023-5811
GCVE (VulDB): GCVE-100-243642
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 26/10/2023 20h19Atualizado: 21/04/2025 08h29
Ajustamentos: 26/10/2023 20h19 (46), 18/11/2023 17h36 (3), 18/11/2023 17h43 (28), 05/06/2024 17h09 (22), 21/04/2025 08h29 (4)
Completo: 🔍
Submissor: zihe
Cache ID: 216::103
Submeter
Aceite
- Submeter #224899: flusity-CMS menu_id in posts.php_ XSS (Cross Site Scripting) exists for the place parameter (de zihe)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.