发布日期：2021-04-15
更新日期：2021-04-20

受影响系统：

Tribal Systems Zenario CMS 8.8.52729

描述：

---

CVE(CAN) ID: CVE-2021-27673

Zenario是基于Web的内容管理系统或CMS。它可以用于具有许多“所见即所得”功能的简单站点，但实际上是为运行Extranet站点（例如客户门户）而设计的。它还具有从核心内置的多语言功能。
Tribal Systems Zenario CMS 8.8.52729版本的“ admin_boxes.ajax.php”组件存在跨站脚本漏洞。远程攻击者在创建新的HTML组件时可通过将任意HTML注入“cID”参数利用该漏洞执行任意代码。

<**>

建议：

---

厂商补丁：

Tribal Systems
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://deadsh0t.medium.com/blind-error-based-authenticated-sql-injection-on-zenario-8-8-52729-cms-d4705534df38
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27673

浏览次数：941
严重程度：0（网友投票）