PT-2022-28277 · Inventree · Inventree
Publicado
2022-06-17
·
Atualizado
2022-06-17
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do InvenTree anteriores à 0.8.0
Versões 0.7.x do InvenTree anteriores à 0.7.2
Descrição
A vulnerabilidade permite que código JavaScript malicioso seja injetado no navegador de um usuário por outros usuários autenticados. Isso se deve à sanitização insuficiente do banco de dados e à falta de escapamento de HTML durante a renderização dos dados. O vetor de ataque é limitado a usuários autenticados que possam gravar dados no banco de dados. O número estimado de dispositivos potencialmente afetados não foi especificado.
Recomendações
Para versões do InvenTree anteriores à 0.8.0, atualize para a versão 0.8.0 ou posterior.
Para versões do InvenTree 0.7.x, atualize para a versão 0.7.2 ou posterior.
Como solução temporária, considere restringir o acesso a dados confidenciais até que uma versão corrigida esteja disponível.
Evite usar as visualizações de front-end vulneráveis até que o problema seja resolvido.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Inventree