CVE-2021-32860

iziModal vulnerable to Cross-site Scripting

CVSS 6.1 MEDIUMEPSS 0.6%CWE-79

Em resumo

O iziModal, um plugin de modais para jQuery, não valida adequadamente títulos fornecidos pelo usuário, permitindo que atacantes injetem código malicioso que é executado nos navegadores dos usuários. Isso pode resultar em roubo de dados sensíveis ou ações não autorizadas no site.

Detalhe técnico

A vulnerabilidade existe no iziModal anterior à versão 1.6.1 devido à falta de sanitização da entrada no parâmetro `title` durante a instanciação do modal. Um atacante que controle o campo title pode injetar HTML ou JavaScript arbitrários que executam no contexto do navegador da vítima, possibilitando ataques XSS. A correção requer atualização para a versão 1.6.1 ou posterior.

Resumo gerado e traduzido por IA a partir da descrição oficial.

iziModal is a modal plugin with jQuery. Versions prior to 1.6.1 are vulnerable to cross-site scripting (XSS) when handling untrusted modal titles. An attacker who is able to influence the field `title` when creating a `iziModal` instance is able to supply arbitrary `html` or `javascript` code that will be rendered in the context of a user, potentially leading to `XSS`. Version 1.6.1 contains a patch for this issue

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Produtos afetados

npm · iziModal

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/marcelodolza/iziModal/commit/01728ac52bac5c1b4512087dafe0ad8b091fdc9e https://github.com/marcelodolza/iziModal/issues/249 https://securitylab.github.com/advisories/GHSL-2021-1044_iziModal/