PT-2024-36801 · Unknown · Grist-Core
Spawnzii
+1
·
Publicado
2024-12-20
·
Atualizado
2024-12-20
·
CVE-2024-56359
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do grist-core anteriores à 1.3.2
Descrição
O problema ocorre quando um usuário acessa um documento malicioso e clica em um link em uma célula HyperLink usando um modificador de teclado, como Ctrl+clique. Isso pode levar ao comprometimento da conta, pois o link pode utilizar o esquema javascript: e ser executado no contexto da página atual.
Recomendações
Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema.
Como solução alternativa temporária para usuários que não possam atualizar, evite clicar em links de células HyperLink usando um modificador de controle em documentos criados por pessoas em quem não confia.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Grist-Core