PT-2020-20371 · Google · Dart
Vincenzo Di Cicco
·
Publicado
2020-03-26
·
Atualizado
2020-03-31
·
CVE-2020-8923
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Dart até a 2.7.1, inclusive
Versões de desenvolvimento do Dart até a 2.8.0-dev.16.0, inclusive
Descrição
O problema está relacionado à sanitização inadequada de HTML, permitindo que um invasor injete HTML ou JavaScript personalizado usando técnicas de DOM Clobbering. Isso pode levar a um ataque de cross-site scripting (XSS). O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.
Recomendações
Atualize seu SDK do Dart para a versão 2.7.2.
Atualize sua versão de desenvolvimento do Dart para a 2.8.0-dev.17.0.
Se não for possível atualizar, analise a forma como utiliza as APIs afetadas e preste atenção especial aos casos em que dados fornecidos pelo usuário são usados para preencher nós do DOM.
Considere usar
Element.innerText ou Node.text para preencher elementos do DOM.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dart