Vulnerabilidad en los resultados de búsqueda en un título de página en Wiki.js (CVE-2020-15274)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/10/2020
Última modificación:
30/10/2020
Descripción
En Wiki.js versiones anteriores a 2.5.162, una carga útil de tipo XSS puede ser inyectada en un título de página y ejecutada por medio de los resultados de búsqueda. Si bien el título se escapa apropiadamente tanto en los enlaces de navegación como en el título de la página real, no es el caso en los resultados de búsqueda. El commit a57d9af34c15adbf460dde6553d964efddf433de corrige esta vulnerabilidad (versión 2.5.162) al escapar apropiadamente el contenido de texto mostrado en los resultados de búsqueda
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:requarks:wiki.js:*:*:*:*:*:*:*:* | 2.5.162 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página