PT-2024-27462 · Microsoft · Nuget Gallery
Jondouglas
·
Publicado
2024-06-12
·
Atualizado
2024-06-13
·
CVE-2024-37304
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões da NuGet Gallery anteriores a 28/05/2024
Descrição
A NuGet Gallery apresenta uma falha de segurança relacionada ao tratamento de autolinks em conteúdo Markdown. Ela não sanitiza adequadamente os autolinks, permitindo que invasores os explorem como vetor para ataques de Cross-Site Scripting (XSS). Quando um usuário insere um autolink Markdown, o link é renderizado sem a devida sanitização, possibilitando a execução de código JavaScript dentro do autolink pelo navegador.
Recomendações
Para versões anteriores à 2024.05.28, atualize para a versão 2024.05.28 para resolver o problema. Como solução alternativa temporária, considere desativar a renderização de links automáticos Markdown até que o patch seja aplicado. Restrinja o acesso ao conteúdo Markdown inserido pelo usuário para minimizar o risco de exploração. Evite usar código JavaScript dentro de links automáticos Markdown nas versões afetadas da NuGet Gallery até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nuget Gallery