PT-2024-28727 · Quilljs+1 · Quilljs+1
Andreslucena
·
Publicado
2024-09-16
·
Atualizado
2024-09-29
·
CVE-2024-39910
CVSS v4.0
5.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do decidim anteriores à 0.27.7
Descrição
O editor WYSIWYG QuillJS no decidim está sujeito a possíveis ataques XSS se um invasor conseguir modificar o HTML antes que ele seja enviado ao servidor. O invasor pode alterar o código, por exemplo, para
<svg onload=alert(‘XSS’)>, caso saiba como criar essas solicitações.Recomendações
Para versões anteriores à 0.27.7, atualize para a versão 0.27.7.
Como solução temporária para usuários que não possam atualizar, revise as contas de usuário que têm acesso ao painel de administração e remova o acesso a elas caso não seja necessário.
Desative a configuração “Ativar editor de rich text para participantes” no painel de administração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Quilljs
Decidim