Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.3.0 названия задач встраивались непосредственно в синтаксис ссылок Markdown в просроченных уведомлениях по электронной почте без экранирования специальных символов Markdown. При рендеринге с помощью goldmark и очистке с помощью bluemonday (который допускает использование тегов <a> и <img>) внедренные конструкции Markdown создают фишинговые ссылки и пиксели отслеживания в законных электронных письмах с уведомлениями.
Эта уязвимость исправлена в версии 2.3.0.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, task titles are embedded directly into Markdown link syntax in overdue email notifications without escaping Markdown special characters. When rendered by goldmark and sanitized by bluemonday (which allows <a> and <img> tags), injected Markdown constructs produce phishing links and tracking pixels in legitimate notification emails. This vulnerability is fixed in 2.3.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
— |
2.3.0
|