PT-2021-22441 · Owncast · Owncast
Gabek
·
Publicado
2021-12-14
·
Atualizado
2024-08-21
·
CVE-2021-39183
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do Owncast anteriores à 0.0.9
Descrição
O problema diz respeito à execução de scripts embutidos quando o JavaScript é analisado por meio de uma ação de colagem no servidor de chat. Isso pode levar à execução de scripts maliciosos. O problema é resolvido bloqueando a Política de Segurança de Conteúdo
unsafe-inline e especificando o script-src. Além disso, é necessário definir worker-src como blob para o reprodutor de vídeo.Recomendações
Para versões anteriores à 0.0.9, atualize para a versão 0.0.9 para corrigir o problema, bloqueando a Política de Segurança de Conteúdo
unsafe-inline e especificando o script-src. Certifique-se de que o worker-src esteja definido como blob para o reprodutor de vídeo.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Owncast