Descripcion CVE-2020-35717 en clases ordenador

vulnerabilidad

Zonote permite XSS a través de una nota diseñada, con la ejecución remota de código resultante (porque la integración de Node.js está habilitada).

Una vulnerabilidad clasificada como problemática ha sido encontrada en zonote hasta 0.4.0 . Una función desconocida del componente Notes Handler es afectada por esta vulnerabilidad . A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase cross site scripting. CWE está clasificando el problema como CWE-79 . Esto tendrá un impacto en la integridad. Un atacante podría inyectar código html y script arbitrario en el sitio web. Esto alteraría la apariencia y permitiría iniciar más ataques contra los visitantes del sitio.

La debilidad se dio a conocer el 01/01/2021. El aviso está disponible en github.com . Esta vulnerabilidad se comercializa como CVE-2020-35717 . Se dice que la explotabilidad es fácil. Es posible lanzar el ataque de forma remota. La explotación exitosa requiere una autenticación. La explotación exitosa requiere la interacción del usuario por parte de la víctima. Se desconocen los detalles técnicos y no hay un exploit disponible. Esta vulnerabilidad está asignada a T1059.007 por el proyecto MITRE ATT & CK.

Pasos para aprovechar la vulnerabilidad

  • Descargue cualquier versión afectada de zonote
  • Abrir la aplicación zonote
  • Importe xss-rce.znt en zonote a través de Menú> Abrir
  • Coloca el cursor sobre los diferentes enlaces en notas importadas

Referencias:

https://github.com/hmartos/cve-2020-35717

https://github.com/zonetti/zonote

https://www.electronjs.org/apps/zonote

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-01-05. Fecha publicación el 2021-01-05. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: incibe