CVE

Vulnerabilidad en VNote (CVE-2024-41662)

Severidad:
ALTA
Type:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/07/2024
Última modificación:
25/07/2024

Descripción

VNote es una plataforma para tomar notas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) en la funcionalidad de renderizado Markdown de las versiones 3.18.1 y anteriores de la aplicación de toma de notas VNote. Esta vulnerabilidad permite la inyección y ejecución de código JavaScript arbitrario a través del cual se puede lograr la ejecución remota de código. Hay un parche para este problema disponible en la confirmación f1af78573a0ef51d6ef6a0bc4080cddc8f30a545. Otras estrategias de mitigación incluyen implementar una rigurosa sanitización de entradas para todo el contenido de Markdown y utilizar un analizador de Markdown seguro que escape o elimine adecuadamente el contenido potencialmente peligroso.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.60
Severidad 3.x
ALTA

Referencias a soluciones, herramientas e información