CVE-2020-36624
ahorner text-helpers translation.rb reverse tabnabbing
Em resumo
A biblioteca ahorner text-helpers permite que atacantes criem links maliciosos que conseguem acessar e controlar a página original através do window.opener, uma técnica conhecida como reverse tabnabbing. Isso ocorre quando a biblioteca não protege adequadamente links externos abertos em novas abas.
Detalhe técnico
Uma vulnerabilidade de reverse tabnabbing existe em lib/text_helpers/translation.rb, onde argumentos de link não sanitizados permitem que atacantes criem URLs que, ao serem abertas em nova aba/janela, mantêm acesso ao objeto window do opener. O ataque requer interação do usuário (clicar em um link), mas pode levar a phishing, roubo de dados ou sequestro de sessão. Corrigido na versão 1.1.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability was found in ahorner text-helpers up to 1.0.x. It has been declared as critical. This vulnerability affects unknown code of the file lib/text_helpers/translation.rb. The manipulation of the argument link leads to use of web link to untrusted target with window.opener access. The attack can be initiated remotely. Upgrading to version 1.1.0 is able to address this issue. The name of the patch is 184b60ded0e43c985788582aca2d1e746f9405a3. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-216520.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Produtos afetados
ahorner · text-helpersQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →