CVE-2022-23073

Recipes, versões 1.0.5 a 1.2.5

O problema diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado na funcionalidade de copiar para a área de transferência. Quando uma vítima acessa a página da lista de alimentos, adiciona um novo alimento com uma carga maliciosa de JavaScript no parâmetro Name e clica no ícone da área de transferência, uma carga XSS é acionada. Isso pode permitir que um invasor com privilégios limitados obtenha a chave API da vítima, levando potencialmente à invasão da conta de administrador.

Para as versões 1.0.5 a 1.2.5, como solução temporária, considere desativar a funcionalidade de copiar para a área de transferência até que um patch esteja disponível. Restrinja o acesso à página da lista de alimentos e a capacidade de adicionar novos itens de alimentos para minimizar o risco de exploração. Evite usar o parâmetro Name na funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.