PT-2022-16150 · K-Box · K-Box
Philipp Fortmann
·
Publicado
2022-02-14
·
Atualizado
2022-02-22
·
CVE-2022-23637
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do K-Box anteriores à 0.33.1
Descrição
O K-Box é um aplicativo baseado na web para gerenciar documentos, imagens, vídeos e geodados. Uma vulnerabilidade de Cross-Site-Scripting (XSS) armazenada está presente no editor Markdown usado pela visualização de resumos de documentos e arquivos Markdown. Um link âncora criado especificamente para esse fim pode, se clicado, executar ações de JavaScript não confiáveis, como recuperar cookies do usuário.
Recomendações
Para versões anteriores à 0.33.1, atualize para a versão 0.33.1, que inclui um patch que permite descartar links não seguros. Como solução temporária, considere desativar o editor Markdown até que um patch esteja disponível. Restrinja o acesso à visualização de arquivos Markdown para minimizar o risco de exploração. Evite usar o editor Markdown para visualizar documentos até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
K-Box