Vikunja — это автономная платформа управления задачами с открытым исходным кодом. Начиная с версии 0.21.0 и до версии 2.2.0, оболочка Vikunja Desktop Electron включает «nodeIntegration» в процессе рендеринга без «contextIsolation» или «песочницы». Это означает, что любая уязвимость межсайтового скриптинга (XSS) в веб-интерфейсе Vikunja — нынешняя или будущая — автоматически перерастает в полное удаленное выполнение кода на компьютере жертвы, поскольку внедренные скрипты получают доступ к API Node.js.
Версия 2.2.0 устраняет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Starting in version 0.21.0 and prior to version 2.2.0, the Vikunja Desktop Electron wrapper enables `nodeIntegration` in the renderer process without `contextIsolation` or `sandbox`. This means any cross-site scripting (XSS) vulnerability in the Vikunja web frontend -- present or future -- automatically escalates to full remote code execution on the victim's machine, as injected scripts gain access to Node.js APIs. Version 2.2.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
0.21.0
|
2.2.2
|