CVE-2025-30210 in bruno
Sumário
de VulDB • 10/07/2026
Bruno é uma IDE de código aberto para explorar e testar APIs. Antes da versão 1.39.1, os componentes personalizados de dica de ferramenta (tool-tip) que utilizavam internamente o react-tooltip definiam o conteúdo (neste caso, o nome do Ambiente) como HTML bruto, que era então injetado no DOM ao passar o mouse sobre ele. Isso, combinado com restrições frouxas da Política de Segurança de Conteúdo (CSP), permitia a execução de qualquer texto HTML válido contendo scripts inline ao passar o cursor sobre o nome do respectivo Ambiente. A superfície de ataque desta vulnerabilidade está estritamente limitada a cenários em que os usuários importam coleções de fontes não confiáveis ou maliciosas. O exploit requer ação deliberada por parte do usuário — especificamente, baixar e abrir uma exportação de coleção Bruno ou Postman fornecida externamente e ser maliciosa, além de o usuário passar o cursor sobre o nome do ambiente. Esta vulnerabilidade foi corrigida na versão 1.39.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.