Vulnerabilità: CVE-2020-7741

Questo riguarda le hellojs pacchetto prima di 1.18.6. Il codice di ottenere l’oauth_redirect param da URL e passarlo a location.assign senza alcun controllo e sanificazione. Così possiamo semplicemente passare alcuni carichi utili XSS nell’URL param oauth_redirect, come ad esempio javascript: alert (1).


https://github.com/MrSwitch/hello.js/blob/3b79ec93781b3d7b9c0b56f598e060301d1f3e73/dist/hello.all.js%23L1545
https://github.com/MrSwitch/hello.js/blob/3b79ec93781b3d7b9c0b56f598e060301d1f3e73/dist/hello.all.js%23L1545
https://github.com/MrSwitch/hello.js/commit/d6f5137f30de6e0ef7048191ee6ae575fdc2f669
https://github.com/MrSwitch/hello.js/commit/d6f5137f30de6e0ef7048191ee6ae575fdc2f669
https://snyk.io/vuln/SNYK-JS-HELLOJS-1014546
https://snyk.io/vuln/SNYK-JS-HELLOJS-1014546
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7741


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi