CVE-2021-32850

jQuery MiniColors vulnerable to Cross-site Scripting

CVSS 6.1 MEDIUMEPSS 0.8%CWE-79

En resumen

jQuery MiniColors, una herramienta de selector de colores, permite que atacantes inyecten código malicioso a través de nombres de colores. Si un sitio web usa esta herramienta con entrada no confiable, los atacantes pueden ejecutar scripts en los navegadores de los usuarios.

Detalle técnico

jQuery MiniColors en versiones anteriores a la 2.3.6 contiene una vulnerabilidad de XSS (almacenado o reflejado) en el manejo del parámetro de nombre de color. El vector de ataque requiere que un atacante proporcione entrada maliciosa a través de campos de nombre de color; la vulnerabilidad permite ejecución arbitraria de JavaScript en el contexto de la aplicación web afectada, impactando confidencialidad e integridad de sesiones de usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.

jQuery MiniColors is a color picker built on jQuery. Prior to version 2.3.6, jQuery MiniColors is prone to cross-site scripting when handling untrusted color names. This issue is patched in version 2.3.6.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

npm · @claviska/jquery-minicolors

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/claviska/jquery-minicolors/commit/ef134824a7f4110ada53ea6c173111a4fa2f48f3 https://github.com/claviska/jquery-minicolors/releases/tag/2.3.6 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MC5HV4ESLV2E23YGHNJ542QEZBH6YE2F/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UDXBWA54A7D6HMR2TN5BAYNCU7HO2PUO/https://securitylab.github.com/advisories/GHSL-2021-1045_jQuery_MiniColors_Plugin/