CVE-2025-30210 in brunoالمعلومات

الملخص

بحسب VulDB • 11/07/2026

برونو (Bruno) هو بيئة تطوير متكاملة مفتوحة المصدر لاستكشاف واختبار واجهات برمجة التطبيقات (APIs). قبل الإصدار 1.39.1، كانت مكونات أدوات التلميح المخصصة التي تستخدم داخلياً مكتبة react-tooltip تقوم بتعيين المحتوى (وفي هذه الحالة اسم البيئة Environment name) كـ HTML خام، والذي يتم بعد ذلك حقنه في نموذج الكائن المستند (DOM) عند تحريك المؤشر فوقه. وبفضل القيود المرنة على سياسة أمان محتوى الموقع (Content Security Policy)، كان من الممكن تنفيذ أي نص HTML صالح يحتوي على نصوص برمجية مضمنة عند تمرير مؤشر الفأرة فوق اسم البيئة المعنية. يقتصر سطح الهجوم لهذا الثغرة بشكل صارم على السيناريوهات التي يستورد فيها المستخدمون مجموعات عمل (collections) من مصادر غير موثوقة أو خبيثة. يتطلب استغلال هذه الثغرة إجراءً متعمداً من قبل المستخدم، وتحديداً تنزيل وفتح ملف تصدير لمجموعة برونو (Bruno) أو بوستمان (Postman) خارجية وخبيثة، ثم تحريك المؤشر فوق اسم البيئة. تم إصلاح هذا العيب الأمني في الإصدار 1.39.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

18/03/2025

إفشاء

01/04/2025

الاعتدال

تمت الموافقة

إدخال

VDB-302656

EPSS

0.00344

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!