PT-2022-17163 · Proton · Proton
Oscar Uribe
·
Publicado
2022-05-20
·
Atualizado
2022-05-31
·
CVE-2022-25224
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Proton versão 0.2.0
Descrição
A vulnerabilidade permite que um invasor crie um link malicioso dentro de um arquivo Markdown. Quando a vítima clica no link, o aplicativo abre o site no quadro atual, permitindo que um invasor hospede código JavaScript no link malicioso para desencadear um ataque XSS. A configuração ‘nodeIntegration’ está ativada, o que permite que a página da web utilize recursos do Node.js. Um invasor pode aproveitar isso para executar comandos do sistema operacional.
Recomendações
Para a versão 0.2.0 do Proton, considere desativar a configuração ‘nodeIntegration’ para impedir que a página da web utilize recursos do NodeJs até que uma correção esteja disponível. Restrinja o acesso a arquivos Markdown que possam conter links maliciosos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Proton