CVE-2021-25993

Versões do wiki.js de 2.0.0-beta.147 a 2.5.255

A vulnerabilidade permite que um usuário com privilégios limitados, especificamente um editor, envie um arquivo SVG malicioso contendo código JavaScript ao adicionar recursos a uma página. Isso leva a uma vulnerabilidade de XSS armazenado, na qual o código malicioso pode capturar e enviar tokens JWT para o servidor de um invasor, resultando potencialmente no comprometimento da conta quando a vítima acessar a página comprometida.

Para as versões 2.0.0-beta.147 a 2.5.255, considere desativar o recurso de upload de recursos para usuários com privilégios limitados até que um patch esteja disponível para impedir a exploração dessa vulnerabilidade. Restrinja o acesso à funcionalidade de edição de páginas para minimizar o risco de uploads de arquivos SVG maliciosos. Evite usar o mecanismo de autenticação baseado em tokens JWT nas versões afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.