Versões do Passbolt anteriores à 2.11

A vulnerabilidade permite que um administrador crie um usuário com nome e sobrenome maliciosos, utilizando uma carga maliciosa como <svg onload="confirm(document.domain)">'); ?></svg>. Quando o usuário recebe o e-mail de convite e clica no link de configuração, a página inicial de configuração servida pelo servidor acionará o XSS. Isso poderia ser usado para editar a página inicial de configuração de um determinado usuário, por exemplo, induzindo-o a instalar outra extensão. Embora a gravidade desse problema seja alta, a probabilidade é baixa, pois a exploração ficará visível para o usuário na notificação por e-mail e requer uma ação de um administrador mal-intencionado.

Para versões anteriores à 2.11, sanitize os campos firstname e lastname na página usada para acionar o processo de configuração da extensão. Além disso, considere configurar a Política de Segurança de Conteúdo (CSP) na configuração do servidor web para impedir scripts inline ou scripts de domínios de terceiros nas páginas servidas pela API do Passbolt.