CVE-2022-31114
MediumCVSS 5.1Exploitation Probability (EPSS)
Low risk19th percentile - higher than 19% of all known CVEs
Summary
Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.
Risk Assessment
Organizacja może być narażona na ataki phishingowe, które mogą skutkować utratą danych lub nieautoryzowanym dostępem do systemów. W przypadku wykorzystania tej podatności, atakujący może zdobyć cenne informacje lub dostęp do kont administracyjnych.
Recommendation
Zaleca się aktualizację do wersji 5.0.13, 4.1.69 lub 4.0.63, które naprawiają tę podatność. Alternatywnie, należy ręcznie zmodyfikować widoki błędów w `resources/views/errors`, aby używać `e($exception->getMessage())` zamiast `$exception->getMessage()`.
Original NVD description (English source)
backpack/crud provides Create, Read, Update & Delete (CRUD) functions for Backpack, a collection of Laravel packages that help users build custom administration panels. Versions prior to 5.0.13, 4.1.69, and 4.0.63 are vulnerable to cross-site scripting. An attacker could conduct a targeted phishing campaign, in order to trick users or admins into clicking a malicious link, which under very specific circumstances could give them information or possibly admin access. Versions 5.0.13, 4.1.69, and 4.0.63 patch the issue. As a workaround, manually look inside error views in `resources/views/errors` and output `e($exception->getMessage())` instead of `$exception->getMessage()`.

