PT-2021-18258 · Hedgedoc · Hedgedoc
Filippo Cremonese
·
Publicado
2021-05-19
·
Atualizado
2022-04-25
·
CVE-2021-29503
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do HedgeDoc anteriores à 1.8.2
Descrição:
A vulnerabilidade permite que um invasor com acesso de gravação a uma nota insira tags HTML na seção de metadados do Open Graph, fazendo com que o front-end renderize a tag de script como parte da seção head. Isso pode ser explorado por invasores não autenticados, caso edições de convidados sejam permitidas, ou por invasores autenticados que tenham acesso de gravação às notas.
Recomendações:
Para versões do HedgeDoc anteriores à 1.8.2, atualize para a versão 1.8.2 para resolver o problema. Como solução temporária, considere desativar as edições de convidados até que a atualização seja aplicada.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hedgedoc