CVE-2021-39250

Versões do Invision Community anteriores à 4.6.5.1

A vulnerabilidade permite XSS armazenado, com consequente execução de código, pois um arquivo enviado pode ser inserido em um elemento IFRAME dentro de conteúdo gerado pelo usuário. Para a execução de código, o invasor pode se valer da capacidade de um administrador de instalar widgets, da divulgação do ID da sessão do administrador em um cabeçalho Referer e da capacidade de um administrador de usar o mecanismo de modelos (por exemplo, Editar HTML).

Para versões anteriores à 4.6.5.1, atualize para a versão 4.6.5.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade dos administradores de instalar widgets e usar o mecanismo de modelos até que um patch seja aplicado. Além disso, restrinja o acesso ao recurso Editar HTML para minimizar o risco de exploração.