CVE-2022-31038
XSS vulnerability in repository issue list in Gogs
En resumen
Gogs permite que atacantes inyecten scripts maliciosos en nombres de usuario, que se ejecutan en los navegadores de otros usuarios al ver listas de problemas. Esto puede provocar el robo de sesiones o credenciales.
Detalle técnico
El campo `DisplayName` en Gogs anterior a la versión 0.12.9 carece de sanitización, habilitando ataques XSS almacenados a través de la interfaz de lista de problemas. Un atacante autenticado puede inyectar HTML/JavaScript que se ejecuta en los navegadores de las víctimas con sus privilegios. La vulnerabilidad requiere interacción del usuario (visualizar la lista) y resulta en compromiso de cuenta o exfiltración de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Gogs is an open source self-hosted Git service. In versions of gogs prior to 0.12.9 `DisplayName` does not filter characters input from users, which leads to an XSS vulnerability when directly displayed in the issue list. This issue has been resolved in commit 155cae1d which sanitizes `DisplayName` prior to display to the user. All users of gogs are advised to upgrade. Users unable to upgrade should check their users' display names for malicious characters.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Productos afectados
gogs · gogs¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →