PT-2022-16158 · Prism · Prism
At055612
·
Publicado
2022-02-18
·
Atualizado
2022-02-28
·
CVE-2022-23647
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Prism 1.14.0 a 1.26.x
Descrição
O Prism é uma biblioteca de realce de sintaxe. O plug-in de linha de comando pode ser usado por invasores para realizar um ataque de script entre sites devido a um escape de saída inadequado, levando à inserção de texto de entrada no DOM como código HTML. O uso do Prism no lado do servidor e sites que não utilizam o plug-in de linha de comando não são afetados.
Recomendações
Para as versões 1.14.0 a 1.26.x, como solução alternativa, não utilize o plug-in de linha de comando em entradas não confiáveis ou sanitize todos os blocos de código removendo todo o texto de código HTML dos blocos de código que utilizam o plug-in de linha de comando.
Para todas as versões afetadas, atualize para a versão 1.27.0 para corrigir o problema.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Prism