CVE-2022-39350

Versões do @dependencytrack/frontend anteriores à 4.6.1

O frontend do Dependency-Track é um aplicativo de página única (SPA) que renderiza detalhes de vulnerabilidades usando a biblioteca JavaScript Showdown. Como o Showdown não possui nenhuma contramedida contra XSS integrada, e as versões anteriores à 4.6.1 do frontend do Dependency-Track não codificavam nem sanitizavam a saída do Showdown, é possível que JavaScript arbitrário incluído nos detalhes de vulnerabilidades por meio de atributos HTML seja executado no contexto do frontend. Usuários com a permissão VULNERABILITY MANAGEMENT podem explorar essa vulnerabilidade criando ou editando uma vulnerabilidade personalizada e inserindo cargas de XSS nos campos Description, Details, Recommendation ou References. A carga será executada para usuários com a permissão VIEW PORTFOLIO ao acessarem a página da vulnerabilidade modificada.

Para versões anteriores à 4.6.1, atualize para a versão 4.6.1 do front-end para corrigir o problema. Como solução temporária, considere restringir a permissão VULNERABILITY MANAGEMENT para impedir a exploração. Além disso, evite usar os campos Description, Details, Recommendation ou References em vulnerabilidades personalizadas até que o problema seja resolvido.