PT-2020-21447 · Npmcorp · Marky-Markdown
Publicado
2020-09-03
·
Atualizado
2020-09-03
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Todas as versões do marky-markdown
Descrição
O problema está relacionado à injeção de HTML devido a uma falha na validação no pacote
marky-markdown. Especificamente, o pacote foi projetado para permitir apenas iframes com fontes de youtube.com, mas essa validação pode ser contornada usando fontes nas quais youtube.com é um subdomínio, como youtube.com.evil.co.Recomendações
Para todas as versões do marky-markdown, atualize para
@npmcorp/marky-markdown, pois o pacote original não é mais mantido.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Marky-Markdown