发布日期：2024-09-24
更新日期：2024-11-22

受影响系统：

Concrete CMS Concrete CMS >= 9.0.0 < 9.3.3
Concrete CMS Concrete CMS < 8.5.19

描述：

---

CVE(CAN) ID: CVE-2024-7398

Concrete CMS是Concrete CMS开源的一个面向团队的开源内容管理系统。
Concrete CMS 9.0.0至9.3.3之前版本和8.5.19之前版本的日历事件添加功能存在跨站脚本漏洞，该漏洞源于输出时程序未正确过滤该功能，具有事件日历创建权限的攻击者可利用该漏洞嵌入脚本、修改并执行脚本。

<**>

建议：

---

厂商补丁：

Concrete CMS
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/concretecms/concretecms/commit/7c8ed0d1d9db0d7f6df7fa066e0858ea618451a5

浏览次数：217
严重程度：0（网友投票）