Vigil@nce - Node.js react-marked-markdown : Cross Site Scripting via HREF Attributes
juillet 2018 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting via HREF
Attributes de Node.js react-marked-markdown, afin d’exécuter du
code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules non exhaustif.
Gravité : 2/4.
Date création : 18/05/2018.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module react-marked-markdown peut être installé sur Node.js.
Cependant, les données reçues via HREF Attributes ne sont pas
filtrées avant d’être insérées dans les documents HTML
générés.
Un attaquant peut donc provoquer un Cross Site Scripting via HREF
Attributes de Node.js react-marked-markdown, afin d’exécuter du
code JavaScript dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET