Vulnerabilidad en InvenTree (CVE-2024-47610)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

07/10/2024

Última modificación:

17/12/2025

Descripción

InvenTree es un sistema de gestión de inventario de código abierto. En las versiones afectadas de InvenTree, es posible que un usuario registrado almacene javascript en campos de notas de Markdown, que luego se muestran a otros usuarios registrados que visitan la misma página y se ejecutan. La vulnerabilidad se ha solucionado de la siguiente manera: 1. Se ha habilitado la desinfección de HTML en la librería de renderizado de Markdown del frontend: `easymde`. 2. El Markdown almacenado también se valida en el backend, para garantizar que el Markdown malicioso no se almacene en la base de datos. Estos cambios están disponibles en las versiones de lanzamiento 0.16.5 y posteriores. Se recomienda a todos los usuarios que actualicen. No hay workarounds, se requiere una actualización para obtener las nuevas funciones de validación.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno