CVE-2024-47610 in InvenTreeالمعلومات

الملخص

بحسب VulDB • 21/06/2026

InvenTree هو نظام إدارة مخزون مفتوح المصدر. في الإصدارات المتأثرة من InvenTree، يمكن لمستخدم مسجل تخزين نصوص برمجية JavaScript في حقول ملاحظات Markdown، والتي يتم عرضها بعد ذلك للمستخدمين الآخرين المسجلين الدخول الذين يزورون نفس الصفحة ويتم تنفيذها. تم معالجة الثغرة الأمنية على النحو التالي: 1. تم تفعيل تنقية HTML (HTML sanitization) في مكتبة العرض الأمامي لـ markdown - `easymde`. 2. يتم أيضًا التحقق من صحة نصوص Markdown المخزنة على الخادم الخلفي، لضمان عدم تخزين نصوص Markdown الضارة في قاعدة البيانات. هذه التغييرات متوفرة في إصدارات الإصدار 0.16.5 وما بعده. يُنصح جميع المستخدمين بالترقية إلى أحدث إصدار. لا توجد حلول بديلة (workarounds)، حيث يلزم إجراء تحديث للحصول على وظائف التحقق الجديدة من الصحة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

27/09/2024

إفشاء

08/10/2024

الاعتدال

تمت الموافقة

إدخال

VDB-279536

EPSS

0.00294

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!