Vulnerabilidad en Nim (CVE-2021-46872)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/01/2023
Última modificación:
07/04/2025
Descripción
Se descubrió un problema en Nim antes de la versión 1.6.2. El módulo RST del lenguaje Nim stdlib, tal como se usa en NimForum y otros productos, permite el esquema javascript: URI y, por lo tanto, puede conducir a XSS en algunas aplicaciones. (Las versiones 1.6.2 y posteriores de Nim están corregidas; puede haber versiones anteriores de la solución para algunas versiones anteriores. NimForum 2.2.0 está corregida).
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nim-lang:nim:*:*:*:*:*:*:*:* | 1.6.2 (excluyendo) | |
| cpe:2.3:a:nim-lang:nimforum:*:*:*:*:*:nim:*:* | 2.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://forum.nim-lang.org/t/8852
- https://github.com/nim-lang/Nim/commit/46275126b89218e64844eee169e8ced05dd0e2d7
- https://github.com/nim-lang/Nim/compare/v1.6.0...v1.6.2
- https://github.com/nim-lang/Nim/pull/19134
- https://github.com/nim-lang/nimforum
- https://forum.nim-lang.org/t/8852
- https://github.com/nim-lang/Nim/commit/46275126b89218e64844eee169e8ced05dd0e2d7
- https://github.com/nim-lang/Nim/compare/v1.6.0...v1.6.2
- https://github.com/nim-lang/Nim/pull/19134
- https://github.com/nim-lang/nimforum