Umbracoのumbraco forms等の複数製品におけるクロスサイトスクリプティングの脆弱性
| Title |
Umbracoのumbraco forms等の複数製品におけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Umbraco Commerceは、オープンソースのdotnet Webフォームソリューションです。影響を受けるバージョンでは、認証済みのユーザーがフォームの編集権限を持っている場合、フォームコンポーネントに安全でないコードを注入できる可能性があります。この問題は、パッチ済みバージョン(13.0.1、12.2.2、10.5.3、8.13.13)のいずれかにアップグレードし、TitleAndDescription:AllowUnsafeHtmlRenderingを設定することで緩和できます。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 28, 2024, midnight |
| Registration Date |
Jan. 7, 2026, 6:27 p.m. |
| Last Update |
Jan. 7, 2026, 6:27 p.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Affected System
| Umbraco |
|
umbraco forms 11.0.0 以上 12.2.2 未満
|
|
umbraco forms 13.0.0 以上 13.0.1 未満
|
|
umbraco forms 8.13.13 未満
|
|
umbraco forms 9.0.0 以上 10.5.3 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年01月07日]
掲載 |
Jan. 7, 2026, 6:27 p.m. |
NVD Vulnerability Information
CVE-2024-35239
| Summary |
Umbraco Commerce is an open source dotnet web forms solution. In affected versions an authenticated user that has access to edit Forms may inject unsafe code into Forms components. This issue can be mitigated by configuring TitleAndDescription:AllowUnsafeHtmlRendering after upgrading to one of the patched versions (13.0.1, 12.2.2, 10.5.3, 8.13.13).
|
| Publication Date |
May 29, 2024, 6:16 a.m. |
| Registration Date |
May 29, 2024, 10 a.m. |
| Last Update |
Nov. 21, 2024, 6:20 p.m. |
Related information, measures and tools
Common Vulnerabilities List