Vulnerabilità: CVE-2020-26211

In BookStack prima della versione 0.30.4, un utente con le autorizzazioni per modificare una pagina potrebbe inserire codice JavaScript tramite l’uso di `javascript:` URI all’interno di un link o di forma che avrebbe eseguito, all’interno del contesto della pagina corrente, quando si fa clic o inviate . Inoltre, un utente con le autorizzazioni per modificare una pagina potrebbe inserire una particolare meta tag che potrebbero essere utilizzati per gli utenti di reindirizzamento silenziosamente in una posizione alternativa su visita di una pagina. contenuti pericolosi può rimanere nel database, ma sarà rimosso prima di essere visualizzati in una pagina. Se pensi che questo avrebbe potuto essere sfruttato la consulenza legata fornisce una query SQL di prova. Per risolvere il problema, senza l’aggiornamento, pagina di modifica delle autorizzazioni potrebbero essere limitati solo a quelli che siano sicuri fino a quando è possibile aggiornare anche se questo non sarà l’indirizzo esistente sfruttamento di questa vulnerabilità. Il problema è risolto in BookStack versione 0.30.4.


https://github.com/BookStackApp/BookStack/security/advisories/GHSA-r2cf-8778-3jgp
https://github.com/BookStackApp/BookStack/security/advisories/GHSA-r2cf-8778-3jgp
https://github.com/BookStackApp/BookStack/commit/bbd1384acbe7e52c21f89af69f2dc391c95dbf54
https://github.com/BookStackApp/BookStack/commit/bbd1384acbe7e52c21f89af69f2dc391c95dbf54
https://github.com/BookStackApp/BookStack/releases/tag/v0.30.4
https://github.com/BookStackApp/BookStack/releases/tag/v0.30.4
https://www.bookstackapp.com/blog/beta-release-v0-30-4/
https://www.bookstackapp.com/blog/beta-release-v0-30-4/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26211


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi