Vulnerabilità: CVE-2020-26280

OpenSlides è una presentazione basata su Web e di riunione del sistema per la gestione e la proiezione agenda, mozioni, e le elezioni delle assemblee. OpenSlides versione 3.2, a causa di validazione dell’input utente unsufficient e fuggire, è vulnerabile a persistenza di cross-site scripting (XSS). Nel web applicazioni gli utenti possono immettere il testo ricco di vari luoghi, per esempio per le note personali o in movimenti. Questi campi possono essere utilizzati per memorizzare arbitraria di codice JavaScript che viene eseguito quando altri utenti leggono il rispettivo testo. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità essere usato per manipolare voti degli altri utenti, dirottare la sessione moderatori o semplicemente disturbare la riunione. La vulnerabilità è stata introdotta con 6eae497abeab234418dfbd9d299e831eff86ed45 su 2020/04/16, che viene dapprima inserito nella release 3.2. Ed è stato corretto nella versione 3.3 (in commettere f3809fc8a97ee305d721662a75f788f9e9d21938, fuse in master su 2020/11/20).


https://github.com/OpenSlides/OpenSlides/security/advisories/GHSA-w5wr-98qm-jx92
https://github.com/OpenSlides/OpenSlides/security/advisories/GHSA-w5wr-98qm-jx92
https://github.com/OpenSlides/OpenSlides/blob/master/CHANGELOG.rst#version-33-2020-12-18
https://github.com/OpenSlides/OpenSlides/blob/master/CHANGELOG.rst#version-33-2020-12-18
https://github.com/OpenSlides/OpenSlides/commit/f3809fc8a97ee305d721662a75f788f9e9d21938
https://github.com/OpenSlides/OpenSlides/commit/f3809fc8a97ee305d721662a75f788f9e9d21938
https://github.com/OpenSlides/OpenSlides/pull/5714
https://github.com/OpenSlides/OpenSlides/pull/5714
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2020-043.txt
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2020-043.txt
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26280


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi