CVE-2022-46180

MITJÀ: (5)

CVSS3: 4,8

Discourse Mermaid és vulnerable a les seqüències d’ordres en llocs creuats causades per una validació incorrecta en l’entrada proporcionada per l’usuari. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant el paràmetre graph per inserir un script maliciós en una pàgina Web que seria executat des del navegador Web de la víctima dins del context de seguretat de l’allotjament del lloc web una vegada que la pàgina és visualitzada. D’aquesta manera, l’atacant podria fer ús d’aquesta vulnerabilitat per tal d’aconseguir les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

–

Remediació
Consulteu el repositori GIT de Discourse Mermaid per obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://github.com/discourse/discourse-mermaid-theme-component/security/advisories/GHSA-8437-hgcm-p3q3
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46180