Уязвимост XSS, открита в популярния редактор на уебсайтове WYSIWYG

Беше открита уязвимост на скриптове между сайтове (XSS) в редактор на WYSIWYG, използван от поне 30 000 уебсайта.

Открит от Епископ Фокс консултант по сигурността Крис Дейвис и публично разкри в сряда грешката, проследена като CVE-2021-28114, въздейства на Froala версия 3.2.6 и по-стари.

Фроала е лек редактор за обогатен текст „Какво-виждаш-има-какво-получаваш“ (WYSIWYG) HTML за разработчици и създатели на съдържание.

Wappalyzer оценки че Froala се използва от приблизително 30 000 уеб домейни.

Според Bishop Fox редакторът WYSIWYG съдържа недостатък в сигурността в своя протокол за анализ на дезинфекцията на HTML, което позволява на хакерите да заобиколят съществуващите XSS защити.

Уязвимостта може да бъде задействана чрез вмъкване на полезен товар на JavaScript в HTML обработчик на събития в рамките на специфични HTML и MathML тагове, което ще накара анализатора да мутира полезния товар в JavaScript команди.

„XSS се причинява от объркване по време на последователността на HTML разбора“, каза Дейвис. “Маркерът

кара парсерът да превключва контекста на своето пространство от имена от HTML на MathML, който не се анализира по същия начин като HTML.

Епископ Фокс

В резултат на това може да се задейства XSS. Атаките на скриптове между сайтове често позволяват на нападателите да действат като потребител на жертва, когато взаимодействат с уязвимо приложение, а последствията могат да варират от повишаване на привилегиите до изтичане на данни или, в най-лошия сценарий, действия като принуждаване на неоторизиран трансфер на средства.

“В случая на Froala уязвимостта може да се отрази или като съхранена, или отразена в зависимост от приложението, което я използва и следователно въздействието ще варира”, казва изследователят. „Контекстът на приложението, използващо Froala, също ще диктува въздействието на уязвимостта.“

CVE-2021-28114 е открит за първи път на 26 февруари, а на Froala се свързва на 4 март. Доставчикът разработва и пуска кръпка във версия 3.2.7 на 18 май, но епископ Фокс проверява повторно софтуера и установява, че грешката в някои конфигурации, не бяха напълно разрешени. Въпреки че беше предложено удължаване на сроковете за публично оповестяване, не бяха направени корекции.

Когато се свържем, продавачът ни насочи към дневник на промените. По-рано грешките на XSS бяха закърпени във версии 3.2.2 и 3.2.3.

За да смекчат риска от тази уязвимост, потребителите трябва да надстроят поне до версия 3.2.7. The последна версия на разположение, версия 4.0, излезе на 1 юни.

Предишно и свързано покритие


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com