Platform
other
Component
organizr
Opgelost in
2.1.1810
CVE-2022-1345 beschrijft een kritieke opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid in Organizr. Deze kwetsuur maakt het mogelijk voor aanvallers om kwaadaardige scripts uit te voeren in de browser van een gebruiker via het uploaden van .svg-bestanden. De kwetsbaarheid treft versies van Organizr tot en met 2.1.1810. Een fix is beschikbaar in versie 2.1.1810.
Deze XSS-kwetsuur stelt aanvallers in staat om kwaadaardige JavaScript-code in de browser van een gebruiker uit te voeren. Dit kan leiden tot een breed scala aan aanvallen, waaronder sessiejacking (overname van de gebruikerssessie), het stelen van gevoelige informatie (zoals wachtwoorden en API-sleutels), en het manipuleren van de gebruikersinterface. Een succesvolle exploitatie kan de volledige controle over de account van de gebruiker geven aan de aanvaller. De impact is verhoogd doordat de kwetsuur zich in een GitHub repository bevindt, wat de potentiële blootstelling vergroot.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar in de GitHub repository. Er zijn geen bekende actieve campagnes gerapporteerd, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2022-04-13. De CVSS score is 9.0 (CRITICAL).
Organizations and individuals utilizing Organizr in their workflows, particularly those who rely on the application for data management or collaboration, are at risk. This includes developers, project managers, and anyone who interacts with the GitHub repository. Shared hosting environments where multiple users have upload privileges are particularly vulnerable.
• other / generic web:
curl -I 'https://your-organizr-instance/path/to/uploaded_file.svg' | grep -i 'content-security-policy'• generic web:
grep -r '<script>' /var/log/apache2/access.log• generic web:
grep -r '<script>' /var/log/nginx/error.logdisclosure
patch
Exploit Status
EPSS
0.33% (56% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Organizr naar versie 2.1.1810 of hoger, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan het beperken van de bestandstypes die geüpload kunnen worden, helpen. Verder kan het implementeren van een Web Application Firewall (WAF) met regels om SVG-bestanden met potentieel kwaadaardige code te blokkeren, een extra beveiligingslaag bieden. Controleer de configuratie van de GitHub repository om te zorgen dat er geen onnodige toegang is tot gevoelige data.
Werk Organizr bij naar versie 2.1.1810 of hoger. Deze versie bevat een correctie voor de stored XSS-vulnerability bij het uploaden van .svg bestanden. De update voorkomt de uitvoering van kwaadaardige scripts in de browser van de gebruiker.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-1345 is a stored XSS vulnerability in Organizr versions up to 2.1.1810. It allows attackers to execute malicious scripts by uploading .svg files, potentially leading to session hijacking and data exposure.
If you are using Organizr version 2.1.1810 or earlier, you are potentially affected by this vulnerability. Assess your environment and upgrade as soon as possible.
Upgrade Organizr to version 2.1.1810 or later to remediate the vulnerability. Implement file upload validation as an interim measure.
Public proof-of-concept exploits are available, suggesting a moderate probability of active exploitation. Monitor your systems for suspicious activity.
Refer to the Organizr GitHub repository for updates and advisories related to CVE-2022-1345: https://github.com/causefx/organizr
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.