CVE-2024-58318CVE-2024-58318是Kentico Xperience内容管理系统中的一个存储型跨站脚本(XSS)漏洞,CVSS评分6.1,属于中等严重程度。该漏洞存在于Kentico Xperience的富文本编辑器组件中,该组件广泛应用于页面构建器和表单构建器功能。攻击者可以通过在富文本编辑器中注入恶意URI或JavaScript代码,将恶意脚本存储在系统数据库中。当其他用户访问包含恶意内容的页面时,存储的恶意脚本会在其浏览器中执行,从而窃取会话令牌、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于该漏洞需要用户交互才能触发,攻击者通常需要诱导管理员或其他用户访问包含恶意脚本的页面。此漏洞于2024年12月18日披露,发现者为VulnCheck安全研究团队。Kentico Xperience是一款企业级内容管理系统和数字营销平台,广泛应用于各种规模的组织和企业的网站管理和内容发布。
该漏洞是典型的存储型XSS漏洞,攻击向量为网络远程攻击,无需认证即可发起攻击,但需要用户交互。攻击者利用Kentico Xperience富文本编辑器对用户输入的URI和脚本内容缺乏充分的过滤和验证,将恶意JavaScript代码嵌入到页面内容中。富文本编辑器在保存内容时未对特殊字符和脚本标签进行正确转义,导致恶意代码被存储在数据库中。当其他用户通过浏览器访问包含恶意内容的页面时,富文本编辑器渲染内容时将恶意脚本一同输出到页面HTML中,浏览器将其作为可执行脚本处理。攻击者可利用此漏洞执行任意JavaScript代码,包括读取用户Cookie、修改页面内容、发起进一步攻击等。CVSS向量显示该漏洞的网络可达性(AV:N)、低复杂度(AC:L)、无需认证(PR:N)但需要用户交互(UI:R),对机密性和完整性的影响均为低( C:L/I:L),对可用性无影响(A:N)。