CVE-2024-56156
CriticalSummary
Halo to narzędzie do budowy stron internetowych typu open source. Przed wersją 2.20.13 istniała podatność, która pozwalała atakującym na obejście kontroli walidacji typów plików, co umożliwiało przesyłanie złośliwych plików, w tym plików wykonywalnych i HTML.
Risk Assessment
Może to prowadzić do ataków typu stored cross-site scripting oraz potencjalnego zdalnego wykonania kodu w określonych okolicznościach, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację do wersji 2.20.13 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Original NVD description (English source)
Halo is an open source website building tool. Prior to version 2.20.13, a vulnerability in Halo allows attackers to bypass file type validation controls. This bypass enables the upload of malicious files including executables and HTML files, which can lead to stored cross-site scripting attacks and potential remote code execution under certain circumstances. This issue has been patched in version 2.20.13.

