PT-2024-26125 · Wiki.Js · Wiki.Js
Et43
·
Publicado
2024-05-20
·
Atualizado
2024-06-05
·
CVE-2024-34710
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Wiki.js anteriores à 2.5.303
Descrição
Foi detectada uma vulnerabilidade de injeção de modelo no lado do cliente no Wiki.js, um aplicativo wiki desenvolvido em Node.js. Essa vulnerabilidade poderia permitir que um invasor injetasse código JavaScript malicioso na seção de conteúdo das páginas, o qual seria executado quando a vítima carregasse a página contendo a carga maliciosa. A injeção é possível através do uso de uma tag HTML inválida com uma carga útil de injeção de modelo na linha seguinte.
Recomendações
Para versões anteriores à 2.5.303, atualize para a versão 2.5.303 para resolver o problema. Como solução temporária, considere restringir a capacidade de injetar tags HTML personalizadas na seção de conteúdo das páginas até que a atualização possa ser aplicada.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wiki.Js