PT-2020-9726 · Fileview · Fileview
Publicado
2020-01-06
·
Atualizado
2020-04-01
·
CVE-2019-15602
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
fileview versões 0.1.6 e anteriores
fileview (todas as versões)
Descrição
O problema está relacionado à codificação e ao escape inadequados na saída do pacote fileview, levando a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada nos arquivos que ele serve. Essa vulnerabilidade permite que invasores executem JavaScript arbitrário no navegador da vítima por meio de arquivos com nomes contendo código malicioso, uma vez que o pacote não sanitiza os nomes dos arquivos.
Recomendações
Para a versão 0.1.6 do fileview, considere usar um pacote alternativo até que uma correção seja disponibilizada.
Para todas as versões do fileview, considere usar um pacote alternativo até que uma correção seja disponibilizada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fileview