Vulnerabilidad de cross-site scripting (XSS) detectada en CMS Microweber

Se ha publicado un parche se seguridad que subsana una vulnerabilidad cross-site scripting (XSS) almacenado en CMS Microweber.

La vulnerabilidad identificada como CVE-2022-0930 de severidad alta, con una puntuación asignada de 8.0. Esta se debe a la insuficiente protección del filtro de carga de archivos brindada por CMS Microweber.

Un atacante podría crear un script que contenga un archivo «html«, con el fin de realizar ataques del tipo cross-site scripting (XSS). Si la explotación fuere exitosa, permitiría al atacante obtener información sensible como credenciales de acceso, a través de la ejecución de JavaScript malicioso.

Las versiones del software afectadas son:

• Microweber 1.2.13 y anteriores.

Recomendamos descargar e instalar la última versión provista por el fabricante:

• https://github.com/microweber/microweber/releases/tag/v1.2.12

Referencias:

• https://portswigger.net/daily-swig/microweber-developers-resolve-xss-vulnerability-in-cms-software
• https://nvd.nist.gov/vuln/detail/CVE-2022-0930
• https://github.com/microweber/microweber/commit/33eb4cc0f80c1f86388c1862a8aee1061fa5d72e
• https://huntr.dev/bounties/d184ce19-9608-42f1-bc3d-06ece2d9a993/