CVE-2024-58323: Kentico Xperience中网页生成期间输入处理不当导致的跨站脚本漏洞

严重性：中等 类型：漏洞

CVE-2024-58323

Kentico Xperience中存在一个存储型跨站脚本漏洞，允许攻击者通过Checkbox表单组件注入恶意脚本。这利用表单构建器对HTML的支持，使得恶意脚本能在用户的浏览器中执行。

AI分析

技术总结

CVE-2024-58323是在Kentico Xperience平台（特别是其Checkbox表单组件内）发现的一个存储型跨站脚本漏洞。该漏洞源于网页生成期间对输入的处理不当，允许攻击者注入恶意的JavaScript代码，这些代码被存储并在后续访问受影响表单的用户浏览器中执行。出现此问题的原因是表单构建器支持HTML输入，而Checkbox组件在将用户提供的数据渲染到网页前，未能充分清理或编码这些数据。该漏洞需要较低的权限，但无需身份验证，并且需要用户交互来触发恶意脚本的执行。CVSS 4.0向量表明其网络攻击向量为远程，攻击复杂度低，对机密性和完整性影响有限，对可用性无影响。影响范围有限，截至发布时尚未有已知的在野利用报告。攻击者可能利用此漏洞进行会话劫持、窃取cookie、篡改网站或通过注入在受信任用户上下文中运行的恶意脚本来进行网络钓鱼攻击。由于Kentico Xperience广泛用于内容管理和Web体验交付，该漏洞对依赖此平台处理面向客户和内部Web应用的组织构成了风险。

潜在影响

对于欧洲组织而言，CVE-2024-58323的影响可能很显著，特别是对于那些使用Kentico Xperience管理面向公众的网站或内部门户的组织。利用此漏洞可能导致未授权访问用户会话、窃取敏感信息（如身份验证令牌）以及潜在的网页内容篡改或操纵。这可能损害组织声誉，因数据泄露导致GDPR下的监管合规问题，并扰乱业务运营。中等严重性评级反映出，虽然该漏洞不会直接损害系统可用性或关键基础设施，但用户数据和网页内容的机密性与完整性面临风险。在金融、医疗、政府、电子商务等常使用Kentico进行数字体验管理的行业，组织可能面临利用此漏洞进行针对性攻击的更高风险。

缓解建议

为缓解CVE-2024-58323，组织应优先采取以下行动：1）一旦Kentico发布官方补丁或更新，立即应用以修复Checkbox表单组件中的漏洞。2）审查并清理所有自定义表单组件中的用户输入，确保进行适当的编码和验证，以防止恶意脚本注入。3）实施内容安全策略头，以限制未经授权脚本的执行，降低潜在XSS攻击的影响。4）定期进行针对Web应用组件（特别是处理用户生成内容的组件）的安全审计和渗透测试。5）对开发人员和管理员进行有关输入处理和输出编码的安全编码实践教育。6）监控Web应用程序日志和用户活动，寻找可能表明攻击尝试的可疑行为迹象。7）考虑部署具有针对Kentico Xperience表单的XSS有效负载检测和阻止规则的Web应用防火墙。

受影响国家

德国、英国、荷兰、法国、瑞典、比利时

来源：CVE数据库 V5 发布日期：2025年12月18日 星期四

供应商/项目： Kentico 产品： Xperience 描述： Kentico Xperience中存在一个存储型跨站脚本漏洞，允许攻击者通过Checkbox表单组件注入恶意脚本。这利用表单构建器对HTML的支持，使得恶意脚本能在用户的浏览器中执行。

AI驱动分析（最后更新：2025年12月18日，20:27:25 UTC）

技术分析 （内容同上文"技术总结"，此处略去重复翻译）

潜在影响 （内容同上文"潜在影响"，此处略去重复翻译）

缓解建议 （内容同上文"缓解建议"，此处略去重复翻译）

受影响国家 德国、英国、荷兰、法国、瑞典、比利时

技术详情 数据版本： 5.2 分配者短名称： VulnCheck 保留日期： 2025-12-17T16:51:11.810Z CVSS 版本： 4.0 状态： 已发布 威胁ID： 69445ff24eb3efac36a51460 添加到数据库： 2025年12月18日，下午8:11:30 最后丰富时间： 2025年12月18日，下午8:27:25 最后更新时间： 2025年12月19日，上午4:10:34 查看次数： 6