PT-2020-16410 · Npm · Vega
Lowjheer
·
Publicado
2020-12-30
·
Atualizado
2021-01-06
·
CVE-2020-26296
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Vega anteriores à 5.17.3
Descrição
O Vega é uma gramática de visualização, um formato declarativo para criar, salvar e compartilhar projetos de visualização interativos. O Vega é um pacote npm. No Vega, existe uma vulnerabilidade XSS nas expressões Vega. Por meio de uma expressão Vega especialmente criada, um invasor poderia executar código JavaScript arbitrário na máquina da vítima.
Recomendações
Para versões anteriores à 5.17.3, atualize para a versão 5.17.3 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de expressões Vega para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vega