从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Potential Code Execution Risk When Viewing SVG Files in Full Screen in Backoffice - 发布者:bergmania - 发布日期:昨天 - 严重性:中等(Moderate) - CVSS v3 base metrics: - Attack vector:网络(Network) - Attack complexity:低(Low) - Privileges required:低(Low) - User interaction:需要(Required) - Scope:不变(Unchanged) - Confidentiality:低(Low) - Integrity:低(Low) - Availability:无(None) - CVE ID:CVE-2024-48927 - 工作原理:当Backoffice用户在全屏模式下预览SVG文件时,存在潜在的代码执行风险。 2. 受影响的版本: - Umbraco.Cms (NuGet): - 影响版本:10.0.0 - 10.8.6, 13.0.0 - 13.5.1 - 已修复版本:10.8.7, 13.5.2 - UmbracoCms (NuGet): - 影响版本:8.0.0 - 8.18.14 - 已修复版本:8.18.15 3. 工作原理: - 服务器端文件验证可用于在文件上传过程中从文件内容中删除脚本标签。 4. 弱性: - 没有CWEs(Common Weakness Enumeration)。 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复。