php · starcitizenwiki/embedvideoCrítico
starcitizenwiki/embedvideo: Vulnerabilidade de injeção HTML/JS no parâmetro class
Uma vulnerabilidade de segurança foi descoberta na extensão EmbedVideo onde o valor class fornecido pelo usuário é interpolado diretamente em um template HTML v
O que mudou
Uma vulnerabilidade de segurança foi descoberta na extensão EmbedVideo onde o valor class fornecido pelo usuário é interpolado diretamente em um template HTML via sprintf sem escape, permitindo injeção de HTML e JavaScript arbitrários.
Quem isso afeta
Todos os usuários da extensão StarCitizenWiki EmbedVideo para MediaWiki, especialmente aqueles que permitem conteúdo gerado pelo usuário.
O que fazer hoje
Atualize a extensão para uma versão corrigida ou aplique uma correção que escape o parâmetro class antes de passá-lo para sprintf.
A esteira
Coletado→
Auditado→
Redigido→
Publicado