PT-2022-17067 · Marktext · Marktext
Fxha
·
Publicado
2022-03-05
·
Atualizado
2022-03-10
·
CVE-2022-25069
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Mark Text versão 0.16.3
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) baseada em DOM permite que invasores executem código remotamente (RCE) injetando uma carga maliciosa no arquivo
/lib/contentState/pasteCtrl.js. Isso permite que invasores executem código malicioso remotamente.Recomendações
Para a versão 0.16.3 do Mark Text, considere desativar o módulo
/lib/contentState/pasteCtrl.js até que uma correção esteja disponível para impedir a execução remota de código. Restrinja o acesso a este módulo para minimizar o risco de exploração. Evite usar o módulo afetado no arquivo /lib/contentState/pasteCtrl.js até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Marktext