Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en expresiones mustache en bloques de código en Wiki.js (CVE-2021-21383)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/03/2021
Última modificación:
24/03/2021

Descripción

Wiki.js una aplicación wiki de código abierto construida sobre Node.js. Wiki.js versiones anteriores a 2.5.191, es vulnerable a un ataque de tipo cross-site scripting almacenado por medio de expresiones mustache en bloques de código. Esta vulnerabilidad se presenta debido a que las expresiones mustache eran analizadas por Vue durante la inyección de contenido a pesar de que está contenida dentro de un elemento "(pre)". Al crear una página wiki diseñada, un usuario de Wiki.js malicioso puede organizar un ataque de tipo cross-site scripting almacenado. Esto permite al atacante ejecutar JavaScript malicioso cuando otros usuarios visualizan la página. Para visualizar un ejemplo, consulte el Aviso de Seguridad de GitHub al que se hace referencia. Commit 5ffa189383dd716f12b56b8cae2ba0d075996cf1 corrige esta vulnerabilidad agregando la directiva v-pre a todas las etiquetas "(pre)" durante el renderizado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:requarks:wiki.js:*:*:*:*:*:*:*:* 2.5.191 (excluyendo)