PT-2021-23955 · Collabora · Collabora Online
Timarp
·
Publicado
2021-12-13
·
Atualizado
2021-12-15
·
CVE-2021-43817
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Collabora Online anteriores à 4.2.20
Versões do Collabora Online anteriores à 6.4.16
Descrição:
Foi encontrada uma vulnerabilidade XSS refletida no Collabora Online, um pacote de escritório colaborativo online baseado na tecnologia LibreOffice. Um invasor poderia injetar HTML não escapado em uma variável ao criar o iframe do Collabora Online e executar scripts dentro do contexto desse iframe. Isso daria acesso a um pequeno conjunto de configurações do usuário armazenadas no navegador, bem como ao token de autenticação da sessão, que também era passado no momento da criação do iframe.
Recomendações:
Para versões do Collabora Online anteriores à 4.2.20, atualize para o Collabora Online 4.2.20 ou superior.
Para versões do Collabora Online anteriores à 6.4.16, atualize para o Collabora Online 6.4.16 ou superior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Collabora Online