CVE-2022-22115

Versões do Teedy v1.5 a v1.9

O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado no nome de uma tag criada. Como o nome da tag não é sanitizado adequadamente na página de edição de tags, um invasor com privilégios limitados pode armazenar scripts maliciosos no nome da tag. Na pior das hipóteses, a vítima que acidentalmente desencadeia o ataque é um administrador com privilégios elevados. Os scripts injetados podem extrair o ID da sessão, o que pode levar à apropriação total da conta do administrador e à escalada de privilégios.

Para as versões v1.5 a v1.9, considere desativar a funcionalidade de edição de tags até que um patch esteja disponível para impedir a exploração da vulnerabilidade de Stored Cross-Site Scripting (XSS). Restrinja o acesso à página de edição de tags para minimizar o risco de exploração. Evite usar o campo de nome da tag na página de edição de tags até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.