CVE-2021-33295

MITJÀ: (5.4)

CVSS3: 5.2

El mòdul Joplin de Node.js és vulnerable a cross-site scripting, causat per la validació impròpia de l’input subministrada per l’usuari per les etiquetes NOSCRIPT en htmlUtils.ts. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant un URL especialment dissenyat per executar script en el navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, una vegada que es fa clic a l’URL. Un atacant podria fer servir aquesta vulnerabilitat per robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Node.js joplin 1.8.1

Remediació
Actualitza a l’última versió de joplin (2.0.1 o posterior), disponible en el lloc web de NPM.

Referències

• https://security.snyk.io/vuln/SNYK-JS-JOPLIN-2928998
• https://www.npmjs.com/package/joplin
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33295