Zulip 8.3 copy_and_paste.js construct_copy_div secuencias de comandos en sitios cruzados
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Resumen
Se ha detectado una vulnerabilidad clasificada como problemática en Zulip 8.3. Resulta afectada una función desconocida dentro del archivo copy_and_paste.js. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase secuencias de comandos en sitios cruzados. Esta vulnerabilidad se conoce como CVE-2024-36624. Es posible lanzar el ataque de forma remota. No se encuentra disponible ningún exploit. Se recomienda aplicar un parche para solucionar este problema.
Detalles
Una vulnerabilidad clasificada como problemática fue encontrada en Zulip 8.3. La función construct_copy_div del archivo copy_and_paste.js es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase secuencias de comandos en sitios cruzados. Esto tiene repercusión sobre la la integridad. El resumen de CVE es:
Zulip 8.3 es vulnerable a Cross Site Scripting (XSS) a través de la función construct_copy_div en copy_and_paste.js.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-36624. Resulta fácil de explotar. El ataque se puede hacer desde la red. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Aplicando el parche e1029b59ede0c4f314c367ffa1ba2904ffaf6768 es posible eliminar el problema. El parche puede ser descargado de github.com.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Producto
Nombre
Versión
Licencia
Sitio web
- Producto: https://github.com/zulip/zulip/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 4.4VulDB Puntuación meta temporal: 4.4
VulDB Puntuación base: 3.5
VulDB Puntuación temporal: 3.4
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CNA Puntuación base: 5.4
CNA Vector (MITRE): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Secuencias de comandos en sitios cruzadosCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔍
Parche: e1029b59ede0c4f314c367ffa1ba2904ffaf6768
Línea de tiempo
2024-05-30 🔍2024-11-29 🔍
2024-11-29 🔍
2025-11-25 🔍
Fuentes
Producto: github.comAviso: e1029b59ede0c4f314c367ffa1ba2904ffaf6768
Estado: Confirmado
CVE: CVE-2024-36624 (🔍)
GCVE (CVE): GCVE-0-2024-36624
GCVE (VulDB): GCVE-100-286465
Artículo
Fecha de creación: 2024-11-29 23:00Actualizado: 2025-11-25 15:59
Cambios: 2024-11-29 23:00 (57), 2024-11-30 04:17 (11), 2025-02-22 21:27 (3), 2025-11-25 15:59 (1)
Completo: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.