PT-2022-28216 · Inventree+1 · Inventree+1
Publicado
2022-06-17
·
Atualizado
2022-06-17
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do InvenTree anteriores à 0.8.0
Versões 0.7.x do InvenTree anteriores à 0.7.3
Descrição
O problema diz respeito ao editor Markdown EasyMDE utilizado no InvenTree, que não sanitiza os dados de entrada por padrão. Isso permite que código malicioso seja injetado no editor Markdown e executado no navegador do usuário. O risco se limita a usuários confiáveis que podem enviar dados maliciosos para o banco de dados.
Recomendações
Para versões do InvenTree anteriores à 0.8.0, atualize para a versão 0.8.0 ou posterior para habilitar a sanitização de dados para o renderizador EasyMDE e aplicar a limpeza de todos os dados enviados ao banco de dados via API.
Para as versões 0.7.x do InvenTree, atualize para a versão 0.7.3 ou posterior para aplicar a correção retroativa.
Como solução alternativa temporária, considere restringir o acesso ao editor Markdown até que o problema seja resolvido com a atualização para a versão especificada.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Easymde
Inventree