Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los resultados de búsqueda en un título de página en Wiki.js (CVE-2020-15274)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/10/2020
Última modificación:
30/10/2020

Descripción

En Wiki.js versiones anteriores a 2.5.162, una carga útil de tipo XSS puede ser inyectada en un título de página y ejecutada por medio de los resultados de búsqueda. Si bien el título se escapa apropiadamente tanto en los enlaces de navegación como en el título de la página real, no es el caso en los resultados de búsqueda. El commit a57d9af34c15adbf460dde6553d964efddf433de corrige esta vulnerabilidad (versión 2.5.162) al escapar apropiadamente el contenido de texto mostrado en los resultados de búsqueda

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:requarks:wiki.js:*:*:*:*:*:*:*:* 2.5.162 (excluyendo)