PT-2021-16891 · Ckan · Ckan
Publicado
2021-12-01
·
Atualizado
2021-12-03
·
CVE-2021-25967
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.9.0 a 2.9.3 do CKAN
Descrição
A vulnerabilidade permite que usuários de aplicativos com privilégios limitados armazenem scripts maliciosos em suas fotos de perfil por meio do upload de arquivos SVG. Esses scripts são executados no navegador da vítima quando ela abre a foto de perfil maliciosa.
Recomendações
Para as versões 2.9.0 a 2.9.3 do CKAN, considere desativar o recurso de upload de arquivos SVG para fotos de perfil dos usuários até que uma correção esteja disponível. Restrinja o acesso às fotos de perfil para minimizar o risco de exploração. Evite usar o recurso de foto de perfil nas versões afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ckan