PT-2024-24608 · Ankitects+1 · Anki+1
Autumn Bee
+2
·
Publicado
2024-07-22
·
Atualizado
2025-10-09
·
CVE-2024-32484
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Ankitects Anki versão 24.04
Descrição
Existe uma vulnerabilidade de XSS refletido no tratamento de caminhos inválidos no servidor Flask. Isso pode ser desencadeado por um cartão de memória especialmente criado, levando à execução de código JavaScript e resultando potencialmente na leitura arbitrária de arquivos. Um invasor pode explorar essa vulnerabilidade compartilhando um cartão de memória malicioso.
Recomendações
Para o Ankitects Anki versão 24.04, considere desativar o tratamento de caminhos inválidos no servidor Flask como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao recurso de flashcard para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Anki
Debian