PT-2019-12083 · Erusev · Parsedown

Xpaw

Publicado

2019-04-06

Atualizado

2022-03-26

CVE-2019-10905

CVSS v3.1

8.1

Alta

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Name of the Vulnerable Software and Affected Versions Parsedown versions prior to 1.7.2

Description The issue allows attackers to execute arbitrary JavaScript code if a script, already running on the affected page, executes the contents of any element with a specific class. This occurs because spaces are permitted in code block infostrings, interfering with the intended behavior of a single class name beginning with the language- substring.

Recommendations For versions prior to 1.7.2, update to version 1.7.2 or later to resolve the issue.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2019-10905

GHSA-62M3-FC7F-JPP8

Produtos afetados

Parsedown

PT-2019-12083 · Erusev · Parsedown

CVE-2019-10905

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7