W oprogramowaniu NamelessMC przed wersją 2.2.3 istnieje podatność typu Cross-site scripting (XSS) w komponencie edytora tekstu panelu zarządzania. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML, co przy ocenie CVSS 9.0 (CRITICAL) stanowi poważne zagrożenie dla integralności i poufności danych.
▸ Pokaż oryginał (EN)
NamelessMC is a free, easy to use & powerful website software for Minecraft servers. Cross-site scripting (XSS) vulnerability in NamelessMC before 2.2.3 allows remote authenticated attackers to inject arbitrary web script or HTML via the dashboard text editor component. This vulnerability is fixed in 2.2.4.
Podatność polega na niewystarczającym oczyszczaniu danych wejściowych wprowadzanych przez zalogowanego użytkownika w komponencie edytora tekstu (dashboard text editor). Atakujący z uprawnieniami do edycji treści może osadzić złośliwy skrypt lub kod HTML, który zostanie wykonany w przeglądarce innej ofiary podczas wyświetlania zainfekowanej strony. Ze względu na zmianę kontekstu (Scope: Changed), skutki ataku mogą wykraczać poza sesję bezpośrednio zaatakowanego użytkownika. Podatność sklasyfikowana jest jako CWE-79 (Improper Neutralization of Input During Web Page Generation) oraz CWE-80 (Improper Neutralization of Script-Related HTML Tags).
Atakujący może przejąć sesję użytkownika lub administratora, wykraść poufne dane oraz wykonać nieautoryzowane działania w imieniu ofiary, co może prowadzić do pełnego przejęcia kontroli nad witryną serwera Minecraft.
Należy niezwłocznie zaktualizować NamelessMC do wersji 2.2.4, w której podatność została naprawiona. Commit naprawczy dostępny jest pod adresem: https://github.com/NamelessMC/Nameless/commit/0e77706b2966dd9f2e30502126d6581ecc001f09
NamelessMC w wersjach przed 2.2.3 (podatność usunięta w wersji 2.2.4)
Podatność zgłoszona i opisana w ramach GitHub Security Advisory GHSA-gp3j-j84w-vqxx. Mimo wymagania uwierzytelnienia (PR:L), wysoki wynik CVSS 9.0 wynika ze zmiany kontekstu bezpieczeństwa (S:C) oraz wysokiego wpływu na poufność, integralność i dostępność.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:HNamelessmc Nameless
APPNamelessmc< 2.2.4
Powiązane podatności
NamelessMC — przejęcie konta przez pusty kod resetowania hasła
NamelessMC is a free, easy to use & powerful website software for Minecraft servers. Cross-site scripting (XSS...
NamelessMC is a free, easy to use & powerful website software for Minecraft servers. In version 2.1.4 and prio...
NamelessMC is a free, easy to use & powerful website software for Minecraft servers. In version 2.1.4 and prio...
NamelessMC is a free, easy to use & powerful website software for Minecraft servers. In version 2.1.4 and prio...