PT-2020-16384 · Bookstack · Bookstack
Percussiveelbow
·
Publicado
2020-12-09
·
Atualizado
2020-12-11
·
CVE-2020-26260
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do BookStack anteriores à 0.30.5
Descrição
O BookStack é uma plataforma para armazenamento e organização de informações e documentação. Um usuário com permissões para editar uma página poderia definir determinados URLs de imagens para manipular a funcionalidade do sistema de exportação, o que lhe permitiria fazer solicitações do lado do servidor e/ou ter acesso a um escopo mais amplo de arquivos dentro dos locais de armazenamento do BookStack.
Recomendações
Para versões anteriores à 0.30.5, atualize para o BookStack v0.30.5 para resolver o problema. Como solução temporária, considere limitar as permissões de edição de páginas apenas àquelas de usuários confiáveis até que você possa realizar a atualização.
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bookstack