PT-2021-14368 · Hedgedoc · Hedgedoc
Tobias Holland
·
Publicado
2021-01-22
·
Atualizado
2021-06-08
·
CVE-2021-21259
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do HedgeDoc anteriores à 1.7.2
Descrição:
O HedgeDoc é um software de código aberto que permite aos usuários criar notas colaborativas em Markdown em tempo real. Um invasor pode injetar código JavaScript arbitrário em uma nota do HedgeDoc, o qual é executado quando a nota é visualizada no modo de apresentação. Dependendo da configuração da instância, o invasor pode não precisar de autenticação para criar ou editar notas.
Recomendações:
Para versões do HedgeDoc anteriores à 1.7.2, atualize para a versão 1.7.2 para resolver o problema.
Como solução alternativa temporária, considere desativar o carregamento de JavaScript de sites de terceiros usando o cabeçalho
Content-Security-Policy, observando que isso irá interromper alguns conteúdos incorporados.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hedgedoc