Vulnerabilità: CVE-2020-26287

HedgeDoc è una piattaforma collaborativa per la scrittura e la condivisione di Markdown. In HedgeDoc prima della versione 1.7.1 un attaccante può iniettare arbitrarie `tag script` nelle note HedgeDoc utilizzando diagrammi sirena. I nostri script impedisce politiche di carico di sicurezza dei contenuti dalla maggior parte delle località, ma `www.google-analytics.com` è permesso. Utilizzo di Google Tag Manager è possibile iniettare arbitrario JavaScript ed eseguirlo al caricamento della pagina. A seconda della configurazione dell’istanza, l’attaccante non può avere bisogno di autenticazione per creare o modificare le note. Il problema è patchato in HedgeDoc 1.7.1. Per risolvere il problema si può impedire `www.google-analytics.com` nell’intestazione` Content-Security-Policy`. Si noti che altri modi per sfruttare l’iniezione `tag script` potrebbe esistere.


https://github.com/hedgedoc/hedgedoc/security/advisories/GHSA-g6w6-7xf9-m95p
https://github.com/hedgedoc/hedgedoc/security/advisories/GHSA-g6w6-7xf9-m95p
https://github.com/Alemmi/ctf-writeups/blob/main/hxpctf-2020/hackme/solution.md
https://github.com/Alemmi/ctf-writeups/blob/main/hxpctf-2020/hackme/solution.md
https://github.com/hackmdio/codimd/issues/1630
https://github.com/hackmdio/codimd/issues/1630
https://github.com/hedgedoc/hedgedoc/commit/58276ebbf4504a682454a3686dcaff88bc1069d4
https://github.com/hedgedoc/hedgedoc/commit/58276ebbf4504a682454a3686dcaff88bc1069d4
https://github.com/hedgedoc/hedgedoc/releases/tag/1.7.1
https://github.com/hedgedoc/hedgedoc/releases/tag/1.7.1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26287


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi