Vulnerabilidad en "www.google-analytics.com" usando Google Tag Manager en etiquetas "script" en las notas de HedgeDoc (CVE-2020-26287)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/12/2020
Última modificación:
30/12/2020
Descripción
HedgeDoc es una plataforma colaborativa para escribir y compartir rebajas. En HedgeDoc versiones anteriores a 1.7.1, un atacante puede inyectar etiquetas "script" arbitrarias en las notas de HedgeDoc usando diagramas mermaid. Nuestra política de seguridad de contenido evita una carga de scripts de la mayoría de las ubicaciones, pero se permite "www.google-analytics.com" Usando Google Tag Manager, es posible inyectar JavaScript arbitrario y ejecutarlo al cargar la página. Dependiendo de la configuración de la instancia, es posible que el atacante no necesite autenticación para crear o editar notas. El problema está parcheado en HedgeDoc versión 1.7.1. Como solución alternativa, se puede rechazar "www.google-analytics.com" en el encabezado "Content-Security-Policy". Tome en cuenta que pueden presentar otras formas de aprovechar la inyección de etiquetas "script"
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hedgedoc:hedgedoc:*:*:*:*:*:*:*:* | 1.7.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Alemmi/ctf-writeups/blob/main/hxpctf-2020/hackme/solution.md
- https://github.com/hackmdio/codimd/issues/1630
- https://github.com/hedgedoc/hedgedoc/commit/58276ebbf4504a682454a3686dcaff88bc1069d4
- https://github.com/hedgedoc/hedgedoc/releases/tag/1.7.1
- https://github.com/hedgedoc/hedgedoc/security/advisories/GHSA-g6w6-7xf9-m95p