PT-2024-36008 · Kanboard+1 · Kanboard+1
Mariotesoro
·
Publicado
2024-12-05
·
Atualizado
2024-12-06
·
CVE-2024-54001
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Kanboard anteriores à 1.2.41
Descrição:
O Kanboard é um software de gerenciamento de projetos focado na metodologia Kanban. É possível injetar e armazenar HTML na seção de configurações do aplicativo. Os campos
application language, application date format, application timezone e application time format permitem entradas arbitrárias do usuário, que são refletidas. Esse problema pode se tornar uma vulnerabilidade de cross-site scripting (XSS) se a entrada do usuário for código JavaScript que contorne a Política de Segurança de Conteúdo (CSP).Recomendações:
Para versões anteriores à 1.2.41, atualize para a versão 1.2.41 para resolver o problema. Como solução temporária, considere restringir a entrada do usuário nos campos
application language, application date format, application timezone e application time format para impedir a injeção arbitrária de HTML.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Kanboard