CVE-2024-34710

Wiki.js is al wiki app built on Node.js. Client side template injection was discovered, that could allow an attacker to inject malicious JavaScript into the content section of pages that would execute once a victim loads the page that contains the payload. This was possible through the injection of a invalid HTML tag with a template injection payload on the next line. This vulnerability is fixed in 2.5.303.

CVSS v3 7.1 HIGH

7.1^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 4.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/requarks/wiki/commit/1238d614e1599fefadd4614ee4b5797a087f50ac
https://github.com/requarks/wiki/security/advisories/GHSA-xjcj-p2qv-q3rf
https://github.com/requarks/wiki/commit/1238d614e1599fefadd4614ee4b5797a087f50ac
https://github.com/requarks/wiki/security/advisories/GHSA-xjcj-p2qv-q3rf

Configurations

No configuration.

History

21 Nov 2024, 09:19

Type	Values Removed	Values Added
References	~~() https://github.com/requarks/wiki/commit/1238d614e1599fefadd4614ee4b5797a087f50ac -~~	() https://github.com/requarks/wiki/commit/1238d614e1599fefadd4614ee4b5797a087f50ac -
References	~~() https://github.com/requarks/wiki/security/advisories/GHSA-xjcj-p2qv-q3rf -~~	() https://github.com/requarks/wiki/security/advisories/GHSA-xjcj-p2qv-q3rf -
Summary		(es) Wiki.js es una aplicación wiki construida en Node.js. Se descubrió la inyección de plantilla del lado del cliente, que podría permitir a un atacante inyectar JavaScript malicioso en la sección de contenido de las páginas que se ejecutaría una vez que la víctima carga la página que contiene el payload. Esto fue posible mediante la inyección de una etiqueta HTML no válida con un payload de inyección de plantilla en la siguiente línea. Esta vulnerabilidad se solucionó en 2.5.303.

20 May 2024, 22:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-05-20 22:15

Updated : 2024-11-21 09:19

NVD link : CVE-2024-34710

Mitre link : CVE-2024-34710

CVE.ORG link : CVE-2024-34710

JSON object : View

Products Affected

No product.

CWE

CWE-1336

Improper Neutralization of Special Elements Used in a Template Engine

7.1 /10