PT-2020-19701 · Google+1 · Angularjs+1

Krzysztof Kotowicz

·

Publicado

2020-06-08

·

Atualizado

2020-10-09

·

CVE-2020-7676

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do angular.js anteriores à 1.8.0
Descrição
A vulnerabilidade permite a execução de scripts entre sites devido à substituição de HTML de entrada baseada em expressões regulares, que pode transformar código sanitizado em código não sanitizado. Isso pode ocorrer quando elementos <option> são envolvidos por elementos <select>, alterando o comportamento de análise e possivelmente levando a código não sanitizado.
Recomendações
Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso de elementos <option> dentro de elementos <select> para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2020-7676
GHSA-MHP6-PXH8-R675
RHSA-2021:0967
RHSA-2021:0968
RHSA-2021:0969
SNYK-JS-ANGULAR-570058

Produtos afetados

Debian
Angularjs