PT-2024-34662 · Cobalt · Cobalt
Dumbmoron
·
Publicado
2024-11-04
·
Atualizado
2024-11-05
·
CVE-2024-51498
CVSS v4.0
6.0
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Cobalt anteriores à 10.2.1
Descrição
Uma instância maliciosa do Cobalt poderia fornecer links com o protocolo
javascript:, resultando em Cross-site Scripting (XSS) quando o usuário tentasse baixar um item de um seletor. Este problema está presente desde o commit 66bac03e e foi mitigado no commit 97977efa para instâncias web configuradas corretamente.Recomendações
Para versões anteriores à 10.2.1, atualize para a versão 10.2.1 ou posterior para resolver totalmente o problema.
Para usuários que não possam atualizar, habilite uma política de segurança de conteúdo (content-security-policy) como medida de mitigação temporária.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cobalt