Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en El parámetro de la ruta de la URL solicitada en OnionShare (CVE-2022-21690)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/01/2022
Última modificación:
24/01/2022

Descripción

OnionShare es una herramienta de código abierto que permite compartir archivos, alojar sitios web y chatear con amigos de forma segura y anónima usando la red Tor. En las versiones afectadas El parámetro de la ruta de la URL solicitada no es saneada antes de pasarlo al frontend de QT. Esta ruta es usada en todos los componentes para mostrar el historial de acceso al servidor. Esto conlleva a un subconjunto de HTML4 renderizado (editor QT RichText) en el frontend de Onionshare

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:onionshare:onionshare:*:*:*:*:*:*:*:* 2.5 (excluyendo)