PT-2024-12114 · Taskcafe · Taskcafe
Joan Bono
+1
·
Publicado
2024-10-04
·
Atualizado
2024-10-07
·
CVE-2023-26771
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Taskcafe versão 0.3.2
Descrição
O problema está relacionado à falta de validação do tipo de arquivo ao fazer o upload de uma foto de perfil em SVG contendo uma carga XSS. Um invasor autenticado pode explorar essa vulnerabilidade fazendo o upload de uma imagem maliciosa, que acionará a carga quando a vítima abrir o arquivo. Isso permite ataques de Cross Site Scripting (XSS).
Recomendações
Para a versão 0.3.2 do Taskcafe, como solução temporária, considere desativar o upload de fotos de perfil em SVG até que uma correção esteja disponível. Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Taskcafe