CVE-2024-56156
KrytyczneStreszczenie
Halo to narzędzie do budowy stron internetowych typu open source. Przed wersją 2.20.13 istniała podatność, która pozwalała atakującym na obejście kontroli walidacji typów plików, co umożliwiało przesyłanie złośliwych plików, w tym plików wykonywalnych i HTML.
Ocena ryzyka
Może to prowadzić do ataków typu stored cross-site scripting oraz potencjalnego zdalnego wykonania kodu w określonych okolicznościach, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.20.13 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Halo is an open source website building tool. Prior to version 2.20.13, a vulnerability in Halo allows attackers to bypass file type validation controls. This bypass enables the upload of malicious files including executables and HTML files, which can lead to stored cross-site scripting attacks and potential remote code execution under certain circumstances. This issue has been patched in version 2.20.13.

