होमआर /auth/login रीडायरेक्ट में DOM-आधारित XSS
प्लेटफ़ॉर्म
javascript
कॉम्पोनेन्ट
homarr
ठीक किया गया
1.57.0
होमआर एक ओपन-सोर्स डैशबोर्ड है। 1.57.0 से पहले, होमआर के /auth/login पेज में एक DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता खोजी गई है। एप्लिकेशन गलत तरीके से एक URL पैरामीटर (callbackUrl) पर भरोसा करता है, जिसे रीडायरेक्ट और router.push में पास किया जाता है। एक हमलावर एक दुर्भावनापूर्ण लिंक तैयार कर सकता है जिसे जब किसी प्रमाणित उपयोगकर्ता द्वारा खोला जाता है, तो क्लाइंट-साइड रीडायरेक्ट करता है और उनके ब्राउज़र के संदर्भ में मनमाना जावास्क्रिप्ट निष्पादित करता है। इससे क्रेडेंशियल चोरी, आंतरिक नेटवर्क पिवटिंग और पीड़ित की ओर से अनधिकृत कार्रवाई हो सकती है। यह भेद्यता 1.57.0 में ठीक की गई है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें