CVE-2021-32855

vditor vulnerable to Cross-site Scripting

CVSS 6.1 MEDIUMEPSS 0.6%CWE-79

En resumen

Vditor, un editor de Markdown, tiene una falla de seguridad donde código malicioso puede ejecutarse si alguien te engaña para copiar y pegar contenido malicioso en el editor. Esto podría permitir que atacantes roben tus datos o tomen control de tu sesión.

Detalle técnico

Vditor en versiones anteriores a 3.8.7 es vulnerable a XSS basado en paste, donde contenido no sanitizado del portapapeles se renderiza sin validación adecuada. El ataque requiere ingeniería social para convencer al usuario de copiar un payload malicioso en el editor, resultando en ejecución arbitraria de JavaScript en el contexto del navegador de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.

Vditor is a browser-side Markdown editor. Versions prior to 3.8.7 are vulnerable to copy-paste cross-site scripting (XSS). For this particular type of XSS, the victim needs to be fooled into copying a malicious payload into the text editor. Version 3.8.7 contains a patch for this issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

npm · vditor

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/Vanessa219/vditor/commit/1b2382d7f8a4ee509d9245db4450d926a0b24146 https://github.com/Vanessa219/vditor/issues/1085 https://securitylab.github.com/advisories/GHSL-2021-1006-vditor/