CVE-2022-23074

Versões do Recipes de 0.17.0 a 1.2.5

A vulnerabilidade diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado no campo “Nome” dos componentes Palavra-chave, Alimento e Unidade. Quando uma vítima acessa os endpoints de Palavra-chave/Alimento/Unidade, como “/Palavra-chave”, “/Alimento” ou “/Unidade”, a carga útil do XSS é acionada. Um invasor com privilégios limitados pode obter a chave de API da vítima, o que pode levar à apropriação da conta de administrador.

Para as versões 0.17.0 a 1.2.5, considere desativar o campo ‘Name’ nos componentes Keyword, Food e Unit até que uma correção esteja disponível. Restrinja o acesso aos endpoints Keyword/Food/Unit para minimizar o risco de exploração. Evite usar o campo Name nesses componentes até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.