PT-2024-32671 · Easymde+1 · Easymde+1
Febin0X10
·
Publicado
2024-10-07
·
Atualizado
2025-12-17
·
CVE-2024-47610
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do InvenTree anteriores à 0.16.5
Descrição
A vulnerabilidade permite que um usuário registrado armazene JavaScript nos campos de notas do Markdown, que são então exibidos para outros usuários conectados que visitam a mesma página e executados. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões anteriores à 0.16.5, atualize para a versão 0.16.5 ou posterior para corrigir o problema. Como solução temporária, considere desativar os campos de notas em Markdown até que a atualização seja aplicada. Restrinja o acesso à biblioteca de renderização de Markdown —
easymde — para minimizar o risco de exploração. Evite usar os campos de notas em Markdown nas páginas afetadas até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Inventree
Easymde