Umbraco es un sistema de gestión de contenidos (CMS) basado en ASP.NET. Recientemente se ha descubierto una vulnerabilidad de severidad MEDIA en el software Umbraco CMS, específicamente una vulnerabilidad de tipo secuencia de comandos entre sitios basada en DOM. Esta vulnerabilidad representa un riesgo significativo, ya que un atacante remoto podría aprovecharla para llevar a cabo diversas actividades maliciosas, como robar información confidencial, modificar la apariencia de la página web, realizar ataques de phishing y llevar a cabo descargas automáticas.

La vulnerabilidad de severidad media, identificada como CVE-2023-48313 por MITRE, se debe a una falta de adecuada limpieza de los datos proporcionados por los usuarios. En este escenario, un atacante remoto podría engañar a un usuario para que siga un enlace especialmente diseñado, lo que permitiría la ejecución de código HTML y scripts arbitrarios en el navegador del usuario, dentro del contexto de un sitio web vulnerable. La explotación exitosa de esta vulnerabilidad podría dar lugar al robo de información potencialmente confidencial, cambios no autorizados en la apariencia de la página web, así como a la realización de ataques de phishing y descargas automáticas.

Versiones de software vulnerables

Umbraco CMS: 10.0.0 – 12.3.3

Recomendación

Actualizar el producto afectado a la última versión de software disponible que aborda esta vulnerabilidad

Fuente:

• https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2023-48313
• https://www.cybersecurity-help.cz/vulnerabilities/84401/