Высокий8.8
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

PT-2024-94: Подделка межсайтовых запросов (CSRF) и отраженный межсайтовый скриптинг (Reflected XSS) в Netcat CMS (модуль netshop)

Тип ошибки:

  • CWE-79:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

  • CWE-352: Cross-Site Request Forgery (CSRF)

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

  • Уровень критичности уязвимости (CVSSv3.1): 8.4 (high)

  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

  • Уровень критичности уязвимости (CVSSv4.0): 8.8 (high)

Описание уязвимости: 
В Netcat CMS была выявлена проблема, затрагивающая версию 6.4 Extra.

Уязвимость модуля netshop CMS-системы Netcat связана с подделкой межсайтовых запросов. Эксплуатация уязвимости возможна для авторизованного пользователя с ролью администратора и приводит к возможности выполнения произвольного JavaScript-кода в браузере атакованного пользователя.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 20.08.2024

Рекомендации:

  • Обновление до версии 7.0 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Ян Чижевский (Positive Technologies)

Идентификаторы:

BDU:2024-06399

Вендор:

Netcat

Уязвимый продукт:

Netcat CMS

Уязвимые версии:

6.4 Extra