CVE-2021-32860

iziModal vulnerable to Cross-site Scripting

CVSS 6.1 MEDIUMEPSS 0.6%CWE-79

En resumen

iziModal, un complemento de modales para jQuery, no valida adecuadamente los títulos proporcionados por el usuario, permitiendo que atacantes inyecten código malicioso que se ejecuta en los navegadores de los usuarios. Esto puede resultar en robo de datos sensibles o acciones no autorizadas en el sitio.

Detalle técnico

La vulnerabilidad existe en iziModal anterior a la versión 1.6.1 debido a la falta de sanitización de la entrada en el parámetro `title` durante la instanciación del modal. Un atacante que controle el campo title puede inyectar HTML o JavaScript arbitrarios que se ejecutan en el contexto del navegador de la víctima, posibilitando ataques XSS. La corrección requiere actualizar a la versión 1.6.1 o posterior.

Resumen generado y traducido por IA a partir de la descripción oficial.

iziModal is a modal plugin with jQuery. Versions prior to 1.6.1 are vulnerable to cross-site scripting (XSS) when handling untrusted modal titles. An attacker who is able to influence the field `title` when creating a `iziModal` instance is able to supply arbitrary `html` or `javascript` code that will be rendered in the context of a user, potentially leading to `XSS`. Version 1.6.1 contains a patch for this issue

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

npm · iziModal

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/marcelodolza/iziModal/commit/01728ac52bac5c1b4512087dafe0ad8b091fdc9e https://github.com/marcelodolza/iziModal/issues/249 https://securitylab.github.com/advisories/GHSL-2021-1044_iziModal/