PT-2022-16478 · Marktext · Marktext
Fxha
·
Publicado
2022-01-29
·
Atualizado
2022-02-04
·
CVE-2022-24123
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 0.16.3 e anteriores do MarkText
Descrição
O problema decorre da falta de sanitização de entradas nos blocos Mermaid antes da renderização, o que pode levar à execução remota de código por meio de um arquivo .md contendo uma carga de ataque Cross-Site Scripting (XSS) de mutação.
Recomendações
Para as versões 0.16.3 e anteriores do MarkText, considere desativar a renderização de blocos mermaid até que um patch esteja disponível para prevenir possíveis ataques de execução remota de código.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Marktext