Vulnerabilità: CVE-2020-26297

mdBook è un’utility per creare moderni libri online da file Markdown ed è scritto in Rust. In mdBook prima della versione 0.4.5, non v’è una vulnerabilità che interessa la funzione di ricerca di mdBook, che potrebbe consentire a un utente malintenzionato di eseguire codice JavaScript arbitrario sulla pagina. La funzione di ricerca di mdBook (introdotto nella versione 0.1.4) è stata colpita da una vulnerabilità di cross site scripting che ha permesso un attaccante di eseguire codice arbitrario JavaScript sul browser di un utente ingannando l’utente a digitare una query di ricerca dannoso o ingannare l’utente a facendo clic su un link alla pagina di ricerca con la query di ricerca dannoso preriempita. mdBook 0.4.5 correzioni la vulnerabilità fuga correttamente la query di ricerca. I proprietari di siti web costruiti con mdBook devono effettuare l’aggiornamento a mdBook 0.4.5 o superiore e ricostruire le loro contenuti del sito con esso.


https://github.com/rust-lang/mdBook/security/advisories/GHSA-gx5w-rrhp-f436
https://github.com/rust-lang/mdBook/security/advisories/GHSA-gx5w-rrhp-f436
https://crates.io/crates/mdbook
https://crates.io/crates/mdbook
https://github.com/rust-lang/mdBook/blob/master/CHANGELOG.md#mdbook-045
https://github.com/rust-lang/mdBook/blob/master/CHANGELOG.md#mdbook-045
https://github.com/rust-lang/mdBook/commit/32abeef088e98327ca0dfccdad92e84afa9d2e9b
https://github.com/rust-lang/mdBook/commit/32abeef088e98327ca0dfccdad92e84afa9d2e9b
https://groups.google.com/g/rustlang-security-announcements/c/3-sO6of29O0
https://groups.google.com/g/rustlang-security-announcements/c/3-sO6of29O0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26297


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi