PT-2022-16911 · Unknown · Privatebin
Ian Budd
·
Publicado
2022-04-11
·
Atualizado
2022-04-19
·
CVE-2022-24833
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do PrivateBin anteriores à 1.4.0
Descrição
Foi encontrada uma vulnerabilidade de cross-site scripting (XSS) no PrivateBin, um clone minimalista e de código aberto do Pastebin. O problema surge porque os arquivos SVG podem conter JavaScript, permitindo que um invasor execute código se um usuário abrir uma pasta com um anexo SVG especialmente criado e interagir com a imagem de pré-visualização. Isso pode ocorrer se a instância não estiver protegida por uma política de segurança de conteúdo adequada. A vulnerabilidade está presente em todas as versões a partir da 0.21 do projeto, que inicialmente se chamava ZeroBin.
Recomendações
Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema.
Como solução temporária, certifique-se de que a política de segurança de conteúdo da instância esteja configurada corretamente para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Privatebin