PT-2024-17544 · Jirafeau · Jirafeau
Georges Taupin
+2
·
Publicado
2024-12-06
·
Atualizado
2026-02-12
·
CVE-2024-12326
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Jirafeau (versões afetadas não especificadas)
Descrição
A vulnerabilidade diz respeito a uma falha de contornamento do tipo MIME, que não distingue maiúsculas de minúsculas, permitindo um ataque XSS (Cross-Site Scripting) em SVG no Jirafeau. Normalmente, o Jirafeau impede a visualização prévia do navegador para arquivos SVG, a fim de evitar a exploração de scripts entre sites. No entanto, era possível contornar essa proteção enviando um tipo MIME manipulado durante o upload, no qual a maiúscula ou minúscula de qualquer letra em
image/svg+xml havia sido alterada. A verificação de image/svg+xml foi alterada para não distinguir maiúsculas de minúsculas a fim de resolver este problema.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jirafeau