Vulnerabilidad CVE de Zulip de Zulip. Lista CVE de errores Zulip de Zulip.
Zulip es una herramienta de colaboración en equipo de código abierto.
7 de febrero del 2023
CVE-2023-22735: En las versiones de zulip anteriores a la confirmación `2f6c5a8` pero después de la confirmación `04cf68b`, los usuarios podían cargar archivos con `Content-Type` arbitrario que se serviría desde el nombre de host de Zulip con `Content-Disposition: inline` y sin `Content-Security- Encabezado de política, lo que les permite engañar a otros usuarios para que ejecuten Javascript arbitrario en el contexto de la aplicación Zulip.
Entre otras cosas, esto permite el robo de sesiones. Solo las implementaciones que usan el almacenamiento S3 (no el almacenamiento en disco local) se ven afectadas, y solo las implementaciones que implementaron la confirmación 04cf68b45ebb5c03247a0d6453e35ffc175d55da, que solo ha estado en "principal", no en ninguna versión numerada.
Los usuarios afectados deben actualizar desde principal nuevamente para implementar esta solución. Cambiar del almacenamiento S3 al almacenamiento en disco local mitigaría nominalmente
Paginas de referencia
- CVE-2023-22735
https://github.com/zulip/zulip/security/advisories/GHSA-wm83-3764-5wqh
Otras referencias sobre vulnerabilidades CVE
- Cryptography
- Ravencoin Core
- OpenKM
- Mayan Edms
- Logicaldoc Enterprise
- Interactive Geo Maps
- Invoiceplane
- Sourcecodester oretnom23
- Microchip Technology NRF5340 dk dt100112
- Microchip RN4870
- Onedev
- Wicked folders
- Weblabyrinth
- sds 3008 series industrial ethernet switch
- Terramaster NAS
- Wallet cpp en dogecoin project dogecoin core
- Schlix web inc schlix cms
- Exactmetrics
- mt6879 mt6895 mt6983
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-10. Fecha publicación el 2023-02-10. Autor: Oscar olg Mapa del sitio Fuente: cve report