PT-2021-21314 · Htmly · Htmly
Fuzz7Jo
·
Publicado
2021-08-03
·
Atualizado
2021-08-11
·
CVE-2021-36702
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
htmly versão 2.8.1
Descrição
O problema diz respeito a uma vulnerabilidade de script entre sites (XSS) de armazenamento no campo “conteúdo” da página “postagem regular”, no menu “adicionar conteúdo” do “painel de controle”. Essa vulnerabilidade permite que invasores remotos enviem solicitações POST-HTTP autenticadas para adicionar conteúdo e injetar scripts da web ou HTML arbitrários por meio de conteúdo especial.
Recomendações
Para a versão 2.8.1 do htmly, considere desativar o campo “conteúdo” na página “postagem regular” até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de XSS de armazenamento. Restrinja o acesso ao menu “adicionar conteúdo” no “painel de controle” para minimizar o risco de injeção de scripts web ou HTML arbitrários. Evite usar o campo “conteúdo” na página afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Htmly