PT-2021-23494 · Unknown · Obsidian Dataview
Tivey-Scwx
·
Publicado
2021-11-04
·
Atualizado
2022-05-24
·
CVE-2021-42057
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Obsidian Dataview versões 0.4.12-hotfix1 e anteriores
Descrição
A vulnerabilidade permite a injeção de código
eval, devido à função evalInContext executar entradas do usuário. Isso permite que um invasor crie arquivos Markdown maliciosos que executarão código arbitrário assim que forem abertos.Recomendações
Para as versões 0.4.12-hotfix1 e anteriores, atualize para a versão 0.4.13 ou posterior para mitigar o problema em alguns casos de uso.
Como solução alternativa temporária, considere restringir o uso da função
evalInContext até que um patch mais abrangente esteja disponível.Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Obsidian Dataview