PT-2020-9729 · Node Red · Node-Red
Vineet Pandey
+1
·
Publicado
2020-01-28
·
Atualizado
2020-01-30
·
CVE-2019-15607
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do node-red anteriores à 0.20.8
Descrição
Existe uma vulnerabilidade de XSS armazenado no pacote npm do node-red, uma ferramenta visual para a conexão da Internet das Coisas. Isso permite que invasores roubem cookies de sessão e alterem o conteúdo de aplicativos web executando código JavaScript arbitrário no navegador da vítima. A vulnerabilidade decorre da falha na sanitização do campo
name em novos Flows.Recomendações
Atualize para a versão 0.20.8 ou posterior.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node-Red