PT-2020-21363 · Progress · @Progress/Kendo-Angular-Editor

Publicado

2020-08-11

·

Atualizado

2020-08-11

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do @progress/kendo-angular-editor anteriores à 1.2.3
Descrição
A vulnerabilidade permite a execução de scripts entre sites (Cross-Site Scripting) quando o conteúdo do Editor contém scripts potencialmente maliciosos nos manipuladores de eventos dos elementos, os quais são executados. Por exemplo, adicionar o conteúdo <img src="" onerror=alert(document.domain)> ao valor do Editor demonstra o problema.
Recomendações
Para versões anteriores à 1.2.3, atualize para a versão 1.2.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere sanitizar o conteúdo do Editor para impedir a execução de scripts maliciosos.

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

GHSA-J7WP-VJJ6-CP5M

Produtos afetados

@Progress/Kendo-Angular-Editor