CVE-2020-26211

Versões do BookStack anteriores à 0.30.4

Um usuário com permissões para editar uma página poderia inserir código JavaScript por meio do uso de URIs javascript: em um link ou formulário, que seria executado, no contexto da página atual, ao ser clicado ou enviado. Além disso, um usuário com permissões para editar uma página poderia inserir uma meta tag específica que poderia ser usada para redirecionar silenciosamente os usuários para um local alternativo ao visitar uma página. Conteúdo perigoso pode permanecer no banco de dados, mas será removido antes de ser exibido em uma página. Se a vulnerabilidade pudesse ter sido explorada, uma consulta SQL pode ser usada para testar.

Para versões anteriores à 0.30.4, atualize para a versão 0.30.4 do BookStack para corrigir o problema.

Como solução alternativa temporária sem atualização, limite as permissões de edição de página apenas àquelas de usuários confiáveis até que você possa atualizar, embora isso não resolva a exploração existente desse problema.