Vulnerabilidad en @webiny/react-rich-text-renderer (CVE-2023-41167)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

25/08/2023

Última modificación:

31/08/2023

Descripción

@webiny/react-rich-text-renderer antes de 5.37.2 permite ataques Cross-Site Scripting (XSS) por parte de gestores de contenido. Se trata de un componente react para renderizar datos procedentes de Webiny Headless CMS y Webiny Form Builder. Webiny es un CMS empresarial sin servidor de código abierto. El paquete @webiny/react-rich-text-renderer depende del editor de texto enriquecido editor.js para manejar contenido de texto enriquecido. El CMS almacena el contenido de texto enriquecido del editor.js en la base de datos. Cuando el @webiny/react-rich-text-renderer se utiliza para renderizar dicho contenido, utiliza la prop peligrosamenteSetInnerHTML, sin aplicar la limpieza HTML. El problema surge cuando un actor, que en este contexto sería específicamente un gestor de contenidos con acceso al CMS, inserta un script malicioso como parte de la entrada definida por el usuario. Este script se inyecta y ejecuta en el navegador del usuario cuando se carga la página principal o la página de administración.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno