CVE-2020-5223

Versões do PrivateBin 1.2.0 a 1.2.1

Versões do PrivateBin 1.3.0 a 1.3.1

É possível que exista uma vulnerabilidade persistente de Cross-site scripting (XSS) no PrivateBin devido à presença de HTML não escapado nos nomes de arquivos anexados fornecidos pelo usuário. Isso pode levar à execução de código quando um visitante clica no botão “Clonar” em uma colagem com um nome de arquivo malicioso. O impacto é mitigado pelo fato de que a vulnerabilidade é específica para colagens e a Política de Segurança de Conteúdo (CSP) implantada não permite JS embutido. No entanto, podem existir maneiras de contornar a CSP, e a simples injeção de tags HTML ainda pode ocorrer.

Para as versões 1.2.0 a 1.2.1 do PrivateBin, atualize para a versão 1.2.2 para se proteger contra a vulnerabilidade.

Para as versões 1.3.0 a 1.3.1 do PrivateBin, atualize para a versão 1.3.2 para se proteger contra a vulnerabilidade.

Como solução temporária, considere desativar a configuração fileupload para impedir que pastas que possam conter essa vulnerabilidade sejam exibidas, mas observe que isso irá danificar todas as pastas existentes com uploads.