Recientemente se descubrió una vulnerabilidad 0-day en SummerNote 0.8.18, biblioteca JavaScript utilizada para crear editores WYSIWYG en línea, que permite Cross-Site Scripting (XSS) a través de la función Code View. Dicha vulnerabilidad, rastreada como CVE-2024-37629, permite que un atacante pueda insertar scripts ejecutables dañinos en el código de una aplicación o sitio web confiable mediante XSS, generalmente iniciando el ataque con un enlace malicioso. El investigador de seguridad Sergio Medeiros, al investigar editores como CKEditor y TinyMCE, encontró que SummerNote es vulnerable a esta falla al probar su función vista de código. Además, identificó que la vulnerabilidad está presente y afecta a alrededor de 10 000 aplicaciones web, ya que el editor gestiona el formato de entrada del usuario, haciendo que sean susceptibles a problemas XSS persistentes.

Leer más »

Tomado del Boletín de Noticias de Ciberseguridad – Global 14/06/2024
2024 © Telefónica Cyber Security & Cloud Tech S.L.U.