Vulnerabilidad en wire-webapp (CVE-2022-24799)

wire-webapp es la interfaz de la aplicación web para el servicio de mensajería wire. Un escape insuficiente en el markdown "code highlighting" en la wire-webapp resultó en la posibilidad de inyectar y ejecutar código HTML arbitrario y, por tanto, también JavaScript. Si un usuario recibe y visualiza un mensaje malicioso de este tipo, es inyectado y ejecutado código arbitrario en el contexto de la víctima. Esto permite al atacante controlar completamente la cuenta del usuario. Los clientes de Wire-desktop que están conectados a una versión vulnerable de wire-webapp también son vulnerables a este ataque. El problema ha sido corregido en wire-webapp versión 2022-03-30-production.0 y ya está desplegado en todos los servicios administrados por Wire. Las instancias locales de wire-webapp deben actualizarse a docker tag 2022-03-30-production.0-v0.29.2-0-d144552 o wire-server 2022-03-30 (chart/4.8.0), para que sus aplicaciones dejen de estar afectadas. No se presentan medidas de mitigación conocidas para este problema. ### Parches * El problema ha sido corregido en wire-webapp **2022-03-30-production.0** y ya está desplegado en todos los servicios administrados por Wire. * Las instancias locales de wire-webapp deben actualizarse a la etiqueta docker **2022-03-30-production.0-v0.29.2-0-d144552** o wire-server **2022-03-30 (chart/4.8.0)**, para que sus aplicaciones ya no estén afectadas. ### Soluciones * No se conocen medidas de mitigación ### Para más información Si presenta alguna pregunta o comentario sobre este aviso no dude en enviarnos un correo electrónico a [vulnerability-report@wire.com](mailto:vulnerability-report@wire.com) ### Créditos Agradecemos a [Posix](https://twitter.com/po6ix) por informar de esta vulnerabilidad