PT-2021-23564 · Unknown · Kindeditor
Cyber-Word
·
Publicado
2021-10-14
·
Atualizado
2021-10-19
·
CVE-2021-42228
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
KindEditor versão 4.1.x
Descrição
Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), permitindo que invasores induzam usuários a clicar em links maliciosos ao enviar um arquivo HTML contendo código CSRF em um site que utilize o editor. Isso pode ser feito enviando-se primeiro o arquivo malicioso e, em seguida, utilizando a autoridade do site para induzir os usuários a clicar no link. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para o KindEditor versão 4.1.x, como solução temporária, considere restringir o acesso ao endpoint
examples/uploadbutton.html até que uma correção esteja disponível. Evite usar o editor para enviar arquivos HTML contendo código potencialmente malicioso. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kindeditor