PT-2020-12512 · Requarks · Wiki.Js
Joranhonig
·
Publicado
2020-05-05
·
Atualizado
2020-05-08
·
CVE-2020-11051
CVSS v3.1
6.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Wiki.js anteriores à 2.3.81
Descrição
O problema está relacionado a um XSS armazenado no editor Markdown. Um editor com acesso de gravação a uma página pode injetar uma carga XSS no conteúdo usando o editor Markdown. Se outro editor com acesso de gravação carregar a mesma página no editor Markdown, a carga XSS será executada como parte do painel de visualização. No entanto, o resultado renderizado não contém a carga XSS, pois ela é removida pelo módulo de segurança de sanitização de HTML. Este problema afeta apenas os editores que carregam a página maliciosa no editor Markdown.
Recomendações
Para versões anteriores à 2.3.81, atualize para a versão 2.3.81 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao editor Markdown para usuários com acesso de gravação, a fim de evitar possíveis explorações.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wiki.Js