PT-2024-24592 · Unknown+1 · Actiontext+1
Ooooooo-Q
·
Publicado
2024-06-04
·
Atualizado
2025-03-26
·
CVE-2024-32464
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do ActionText 7.1.0 a 7.1.3.3
Versão 7.2.0.beta1 do ActionText
Descrição
O problema decorre da inclusão de instâncias de ActionText::Attachable::ContentAttachment dentro de uma tag
rich text area, que poderia conter HTML não sanitizado. Isso pode levar a um possível problema de cross-site scripting no editor Trix.Recomendações
Para as versões do ActionText 7.1.0 a 7.1.3.3, atualize para a versão 7.1.3.4 para resolver o problema.
Para a versão 7.2.0.beta1 do ActionText, atualize para a versão 7.2.0.beta2 para resolver o problema.
Como solução temporária, considere restringir o acesso à tag
rich text area até que um patch seja aplicado.Aplique o patch fornecido para a série 7.1, action text content attachment xss 7 1 stable.patch, para ajudar a mitigar o problema para usuários que não possam atualizar imediatamente.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Actiontext