PT-2022-15005 · Convos · Convos
P0Cas
·
Publicado
2022-01-04
·
Atualizado
2022-01-11
·
CVE-2022-21650
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Convos (versões afetadas não especificadas)
Descrição
A vulnerabilidade diz respeito ao Convos, um chat multiusuário de código aberto que funciona em um navegador da web. É possível contornar o filtro de upload enviando um arquivo SVG com extensão .html, uma vez que a janela de chat não permite o uso direto de extensões SVG, mas aceita extensões .html. Essa contornada leva a um Stored XSS, permitindo que um invasor execute scripts maliciosos quando um usuário visualiza o arquivo enviado. Recomenda-se que os usuários atualizem o software o mais rápido possível para mitigar esse risco.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Convos