CVE-2024-29193

gotortc versões 1.8.5 e anteriores

O gotortc é um aplicativo de transmissão de câmera. A página inicial (index.html) exibe as transmissões disponíveis ao consultar a API no lado do cliente, utilizando Object.entries para percorrer os resultados e anexando o primeiro item (name) por meio de innerHTML. Isso leva a um cross-site scripting (XSS) baseado em DOM. Quando uma vítima acessa o servidor, seu navegador executa a solicitação contra a instância do go2rtc e, após a solicitação, o navegador é redirecionado para o go2rtc, onde o XSS é executado no contexto da origem do go2rtc.

Como solução temporária, considere desativar o uso de innerHTML para anexar dados fornecidos pelo usuário até que um patch esteja disponível.

Restrinja o acesso à página index.html para minimizar o risco de exploração.

Evite usar a variável name no endpoint da API afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.