Vulnerabilidad en expresiones mustache en bloques de código en Wiki.js (CVE-2021-21383)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/03/2021
Última modificación:
24/03/2021
Descripción
Wiki.js una aplicación wiki de código abierto construida sobre Node.js. Wiki.js versiones anteriores a 2.5.191, es vulnerable a un ataque de tipo cross-site scripting almacenado por medio de expresiones mustache en bloques de código. Esta vulnerabilidad se presenta debido a que las expresiones mustache eran analizadas por Vue durante la inyección de contenido a pesar de que está contenida dentro de un elemento "(pre)". Al crear una página wiki diseñada, un usuario de Wiki.js malicioso puede organizar un ataque de tipo cross-site scripting almacenado. Esto permite al atacante ejecutar JavaScript malicioso cuando otros usuarios visualizan la página. Para visualizar un ejemplo, consulte el Aviso de Seguridad de GitHub al que se hace referencia. Commit 5ffa189383dd716f12b56b8cae2ba0d075996cf1 corrige esta vulnerabilidad agregando la directiva v-pre a todas las etiquetas "(pre)" durante el renderizado
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:requarks:wiki.js:*:*:*:*:*:*:*:* | 2.5.191 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página