CVE-2021-32850
jQuery MiniColors vulnerable to Cross-site Scripting
Em resumo
jQuery MiniColors, uma ferramenta de seleção de cores, permite que atacantes injetem código malicioso através dos nomes de cores. Se um site usa essa ferramenta com dados não confiáveis, atacantes conseguem executar scripts nos navegadores dos usuários.
Detalhe técnico
jQuery MiniColors em versões anteriores à 2.3.6 contém uma vulnerabilidade de XSS (armazenada ou refletida) no tratamento do parâmetro de nome de cor. O vetor de ataque requer que um atacante forneça entrada maliciosa através de campos de nome de cor; a vulnerabilidade permite execução arbitrária de JavaScript no contexto da aplicação web afetada, impactando confidencialidade e integridade de sessões de usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
jQuery MiniColors is a color picker built on jQuery. Prior to version 2.3.6, jQuery MiniColors is prone to cross-site scripting when handling untrusted color names. This issue is patched in version 2.3.6.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
npm · @claviska/jquery-minicolorsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/claviska/jquery-minicolors/commit/ef134824a7f4110ada53ea6c173111a4fa2f48f3https://github.com/claviska/jquery-minicolors/releases/tag/2.3.6https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MC5HV4ESLV2E23YGHNJ542QEZBH6YE2F/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UDXBWA54A7D6HMR2TN5BAYNCU7HO2PUO/https://securitylab.github.com/advisories/GHSL-2021-1045_jQuery_MiniColors_Plugin/