CVE-2024-39311

Nome do Software Vulnerável e Versões Afetadas Versões do Publify anteriores a 10.0.1 Versões do rubygem publify core anteriores a 10.0.2

Descrição O problema permite que um publicador em uma aplicação Publify realize um ataque de cross-site scripting (XSS) contra um administrador utilizando a funcionalidade de redirecionamento. Isso requer que o administrador clique em um link malicioso. Um ataque pode tentar ocultar seu payload usando HTML ou outras codificações para fazer o link parecer legítimo. Um publicador pode tentar usar esta vulnerabilidade para escalonar seus privilégios e tornar-se um administrador.

Recomendações Para versões do Publify anteriores a 10.0.1, atualize para a versão 10.0.1 ou posterior para corrigir o problema. Para versões do rubygem publify core anteriores a 10.0.2, atualize para a versão 10.0.2 ou posterior para corrigir o problema. Como solução temporária, considere restringir o acesso à funcionalidade de redirecionamento até que um patch esteja disponível. Evite clicar em links suspeitos de publicadores para minimizar o risco de exploração.