Xibo
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.18267
Распределение по критичности
Критический
0
Высокий
9
Средний
14
Низкий
0
Затронутые диапазоны версий
1.4.0–2.3.171.7–4.4.11.8.0–2.3.171.8.0–3.3.102.1.0–3.3.123.0.0–3.3.53.2.0–3.3.5< 4.1.0< 4.3.1< 4.4.1< 4.4.2
Также сопоставлено как (исходные строки): xibo
Топ уязвимостей
CVE-2024-29022Xibo — это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows для отображения. В затронутых версиях некоторые заголовки запросов некорректно очищаются при хранении в сеансе и таблицах отображения. Эти заголовки можно использовать для внедрения вредоносного скрипта на страницу сеанса для извлечения идентификаторов сеансов и агентов пользователя. Эти идентификаторы сеансов / агенты пользователя впоследствии можно использовать для перехвата активных сеансов. Вредоносный скрипт можно внедрить в сетку отображения для извлечения информации, связанной с дисплеями. Пользователям следует обновиться до версии 3.3.10 или 4.0.9, в которых эта проблема исправлена. Клиенты, размещающие свою CMS с помощью службы Xibo Signage, уже получили обновление или исправление для решения этой проблемы независимо от версии CMS, которую они используют. Обновление до исправленной версии необходимо для устранения проблемы. Исправления доступны для более ранних версий Xibo CMS, которые не поддерживаются по безопасности: 2.3 patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. 1.8 patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. Известных обходных путей для этой проблемы нет.
CVE-2023-33177Xibo — это система управления контентом (CMS). В Xibo CMS существует уязвимость обхода пути, при которой аутентифицированный пользователь может загрузить специально созданный zip-файл в CMS через функцию импорта макета, что позволит создавать файлы за пределами каталога библиотеки CMS от имени пользователя веб-сервера. Это можно использовать для загрузки PHP-веб-оболочки внутри корневого веб-каталога и добиться удаленного выполнения кода от имени пользователя веб-сервера. Пользователям следует обновиться до версии 2.3.17 или 3.3.5, в которых эта проблема устранена. Клиенты, которые размещают свою CMS с помощью Xibo Signage, уже получили обновление или исправление для решения этой проблемы, независимо от версии CMS, которую они используют.
CVE-2026-31952Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. Версии 1.7-4.4.0 имеют уязвимость инъекций SQL в маршрутах API внутри CMS, ответственной за фильтрацию наборов данных. Это позволяет аутентифицированному пользователю получать и изменять произвольные данные из базы данных Xibo, вводя специально созданные значения в параметр API-фильтра. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет либо привилегию «Доступ к спецификации» или привилегию «Доступ к макету». Пользователи должны обновиться до версии 4.4.1, которая устраняет эту проблему. Клиенты, которые размещают свои CMS с Xibo Signage, были исправлены, если они используют 4.4, 4.3, 3.3, 2,3 или 1,8. Для исправления необходимо обновление до фиксированной версии. Патчи доступны для более ранних версий Xibo CMS, которые не поддерживаются, а именно 3.3, 2.3 и 1.8.
CVE-2024-41802Xibo — это система управления контентом (CMS). В API внутри CMS, отвечающих за фильтрацию наборов данных, была обнаружена уязвимость SQL-инъекции. Это позволяет аутентифицированному пользователю получать и изменять произвольные данные из базы данных Xibo, внедряя специально созданные значения в API для импорта JSON и импорта макета, содержащего данные набора данных. Пользователям следует перейти на версию 3.3.12 или 4.0.14, в которой устранена эта проблема.
CVE-2026-42141Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-содержащими контентом и программным обеспечением Windows. До 4.4.1 аутентифицированная уязвимость подделки запроса на серверную сторону (SSRF) в Xibo CMS позволяет пользователям с разрешениями на загрузку Библиотеки выполнять произвольные HTTP-запросы с сервера CMS на внутренние или внешние сетевые ресурсы. Это может быть использовано для сканирования внутренней инфраструктуры, доступа к локальным конечным точкам метаданных облачных метаданных (например, AWS IMDS), взаимодействия с внутренними службами, которые не имеют аутентификации, или эксфильтрации данных. Эта уязвимость исправлена в пункте 4.4.1.
CVE-2026-42558Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. До 4.4.2 цепочка уязвимостей, состоящая из Хранилищного выхода XSS и Iframe Sandbox в Xibo CMS, позволяет пользователям с разрешениями DataSet использовать функциональность Data Connector для создания сообщений, которые выходят из песчаной коробки и облегчают XSS. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет обе следующие привилегии, которые не предоставляются не-администрациям в стандартной комплектации: Включите кнопку «Добавить настройку» для дополнительных наборов данных, которые должны создаваться независимо, чтобы пользователи могли перейти на версию 4.4.2, которая устраняет эту проблему. Для исправления необходимо обновление до фиксированной версии. Пользователи, неспособные к обновлению, должны отозвать такие привилегии у пользователей, которым они не доверяют.
CVE-2013-4887Уязвимость SQL-инъекции в index.php в Digital Signage Xibo 1.4.2 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр displayid.
CVE-2025-62369Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом (CMS). Версии 4.3.0 и ниже содержат уязвимость удаленного выполнения кода в функции шаблона модуля CMS Developer, позволяющей аутентифицированным пользователям с разрешениями «Система -> Добавление/редактировать пользовательские модули и шаблоны» для манипулирования фильтрами Twig и выполнения произвольных функций стороны сервера в качестве пользователя веб-сервера. Эта проблема исправлена в версии 4.3.1. Чтобы обойти эту проблему, используйте патч 4.1 и 4.2.
CVE-2024-29023Xibo — это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows для отображения. Токены сеансов отображаются в возврате вызова API поиска сеансов на странице сеансов. Впоследствии они могут быть извлечены и использованы для перехвата сеанса. Пользователям должен быть предоставлен доступ к странице сеанса или они должны быть супер администраторами. Пользователям следует обновиться до версии 3.3.10 или 4.0.9, в которых эта проблема исправлена. Клиенты, размещающие свою CMS с помощью службы Xibo Signage, уже получили обновление или исправление для решения этой проблемы независимо от версии CMS, которую они используют. Исправления доступны для более ранних версий Xibo CMS, которые не поддерживаются по безопасности: 2.3 patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. 1.8 patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. Известных обходных путей для этой уязвимости нет.
CVE-2013-4889Множественные уязвимости межсайтовой подделки запросов (CSRF) в index.php в Digital Signage Xibo 1.4.2 позволяют удаленным злоумышленникам перехватить аутентификацию администраторов для запросов, которые (1) добавляют нового администратора через действие AddUser или (2) проводят атаки межсайтового скриптинга (XSS), как продемонстрировано в CVE-2013-4888.
CVE-2024-41804Xibo — это система управления контентом (CMS). В API внутри CMS, отвечающих за добавление/редактирование формул столбцов набора данных, была обнаружена уязвимость SQL-инъекции. Это позволяет аутентифицированному пользователю получать и изменять произвольные данные из базы данных Xibo, внедряя специально созданные значения в параметр formula. Пользователям следует перейти на версию 3.3.12 или 4.0.14, в которой устранена эта проблема.
CVE-2023-33180Xibo — это система управления контентом (CMS). Начиная с версии 3.2.0 и до версии 3.3.2, в API-маршруте `/display/map` внутри CMS была обнаружена уязвимость SQL-инъекции. Это позволяет аутентифицированному пользователю извлекать данные из базы данных Xibo, внедряя специально созданные значения в параметр `bounds`. Пользователям следует обновиться до версии 3.3.5, в которой эта проблема устранена. Обходных путей, кроме обновления, не существует.
CVE-2023-33179Xibo — это система управления контентом (CMS). Начиная с версии 3.2.0 и до версии 3.3.5, в функции `nameFilter`, используемой во всей CMS, была обнаружена уязвимость SQL-инъекции. Это позволяет аутентифицированному пользователю извлекать данные из базы данных Xibo, внедряя специально созданные значения для логических операторов. Пользователям следует обновиться до версии 3.3.5, в которой эта проблема устранена. Обходных путей, кроме обновления, не существует.
CVE-2023-33178Xibo — это система управления контентом (CMS). В API-маршруте `/dataset/data/{id}` внутри CMS, начиная с версии 1.4.0 и до версий 2.3.17 и 3.3.5, была обнаружена уязвимость SQL-инъекции. Это позволяет аутентифицированному пользователю извлекать данные из базы данных Xibo, внедряя специально созданные значения в параметр `filter`. Значения, разрешенные в параметре фильтра, проверяются по списку запрещенных команд, которые не должны быть разрешены, однако эта проверка выполнялась с учетом регистра, поэтому можно обойти эти проверки, используя необычные комбинации регистров. Пользователям следует обновиться до версии 2.3.17 или 3.3.5, в которых эта проблема устранена. Обходных путей, кроме обновления, не существует.
CVE-2026-31953Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. Сохранившийся уязвимость Cross-Site Scripting (XSS) в версиях до 4.4.1 позволяет аутентифицированному пользователю с разрешениями на создание уведомлений вводить произвольный JavaScript в орган уведомлений. Когда уведомление устанавливается как «прерор», подобная нагрузка выполняет автоматически в браузере любого целевого пользователя при входе в систему, требуя нулевого взаимодействия с пользователем. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет обе следующие привилегии, которые не предоставляются не-администраторам в стандартной комплектации: Доступ к Центру уведомлений для просмотра прошлых уведомлений и включение кнопки «Добавить уведомление», чтобы обеспечить создание новых уведомлений. Пользователи должны обновиться до версии 4.4.1, которая устраняет эту проблему. Для исправления необходимо обновление до фиксированной версии. Пользователи, которые не могут обновиться, должны отозвать такие привилегии у пользователей, которым они не доверяют.
CVE-2024-43412Xibo — это платформа цифровых вывесок с открытым исходным кодом и системой управления веб-контентом (CMS). До версии 4.1.0 межсайтовая уязвимость сценариев в Xibo CMS позволяет авторизованным пользователям выполнять произвольный JavaScript через функцию предварительного просмотра файлов. Пользователи могут загружать файлы HTML/CSS/JS в библиотеку Xibo через модуль Generic File для ссылки на дисплеях и в макетах. Это предполагаемая функциональность. При предварительном просмотре этих ресурсов из библиотеки и редактора макетов они выполняются в браузере пользователя. Это будет отключено в будущих выпусках, и пользователям рекомендуется использовать новые инструменты разработчика в 4.1 для разработки своих виджетов, требующих такого типа функциональности. Это поведение было изменено в 4.1.0 для предварительного просмотра общих файлов. Для этой проблемы нет обходных путей.
CVE-2023-33181Xibo — это система управления контентом (CMS). Начиная с версии 3.0.0 и до версии 3.3.5, некоторые API-маршруты будут печатать трассировку стека при вызове с отсутствующими или недействительными параметрами, раскрывая конфиденциальную информацию о местоположении путей, используемых сервером. Пользователям следует обновиться до версии 3.3.5, в которой эта проблема устранена. Обходных путей, кроме обновления, не существует.
CVE-2013-5979Уязвимость обхода каталогов в Spring Signage Xibo 1.2.x до 1.2.3 и 1.4.x до 1.4.2 позволяет удаленным злоумышленникам читать произвольные файлы через .. (две точки) в параметре p в index.php.
CVE-2026-31955Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. Аутентифицированная уязвимость Server-Side Forgery (SSRF) в версиях до 4.4.1 позволяет пользователям с разрешениями DataSet делать произвольные HTTP-запросы с сервера CMS на внутренние или внешние сетевые ресурсы. Это может быть использовано для сканирования внутренней инфраструктуры, доступа к локальным конечным точкам метаданных облака (например, AWS IMDS), взаимодействия с внутренними службами, которые не имеют аутентификации, или эксфильтрации данных. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет обе следующие привилегии, которые не предоставляются не-админерам в стандартной комплектации: Включите кнопку «Добавить набор данных», чтобы позволить создавать дополнительные наборы данных независимо для Макетов. Пользователи должны обновиться до версии 4.4.1, которая устраняет эту проблему. Для исправления необходимо обновление до фиксированной версии. Пользователи, которые не могут обновиться, должны отозвать такие привилегии у пользователей, которым они не доверяют.
CVE-2024-41803Xibo — это система управления контентом (CMS). В API внутри CMS, отвечающих за фильтрацию наборов данных, была обнаружена уязвимость SQL-инъекции. Это позволяет аутентифицированному пользователю получать произвольные данные из базы данных Xibo, внедряя специально созданные значения в API для просмотра данных набора данных. Пользователям следует перейти на версию 3.3.12 или 4.0.14, в которой устранена эта проблема.
CVE-2024-43413Xibo — это платформа цифровых вывесок с открытым исходным кодом и системой управления веб-контентом (CMS). До версии 4.1.0 межсайтовая уязвимость сценариев в Xibo CMS позволяет авторизованным пользователям выполнять JavaScript через функциональность DataSet. Пользователи могут разработать DataSet с HTML-столбцом, содержащим JavaScript, что является предполагаемой функциональностью. JavaScript выполняется на странице Data Entry и в любых макетах, которые ссылаются на него. Это поведение было изменено в 4.1.0, чтобы показывать HTML/CSS/JS как код на странице Data Entry. Для этой проблемы нет обходных путей.
CVE-2026-31956Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. До версии 4.4.1 любой аутентифицированный пользователь может вручную создать URL-адрес для предварительного просмотра кампаний/областей и экспортировать сохраненные отчеты, принадлежащие другим пользователям. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет любую из следующих привилегий: страница, на которой показаны все макеты, которые были созданы для целей управления планировкой; страница, которая показывает все Кампании, которые были созданы для целей управления Кампанией; и страница, которая показывает все отчеты, которые были сохранены. Пользователи должны обновиться до версии 4.4.1, которая устраняет эту проблему. Для исправления необходимо обновление до фиксированной версии.
CVE-2013-4888Уязвимость межсайтового скриптинга (XSS) в index.php в Digital Signage Xibo 1.4.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр layout на странице layout.