PT-2020-20971 · Unknown · Motiv.Scss

Publicado

2020-09-11

·

Atualizado

2020-09-11

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
motiv.scss versão 0.4.20
Descrição
O problema diz respeito a código malicioso em uma versão específica do motiv.scss. Quando executado em um navegador, esse código pode extrair informações confidenciais, como os campos de senha, cvc e cardnumber de formulários, e enviar esses valores para o endpoint https://js-metrics.com/minjs.php?pl=.
Recomendações
Remova a versão 0.4.20 do pacote motiv.scss do seu ambiente e avalie sua aplicação para determinar se os dados dos usuários foram comprometidos.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-506

Identificadores relacionados

GHSA-2VQQ-JGXX-FXJC

Produtos afetados

Motiv.Scss