One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8400955 |
| Date de publication | 2023-10-26 15:15:09 (vue: 2023-10-26 17:08:39) |
| Titre | CVE-2023-46238 |
| Texte | Zitadel est un système de gestion des infrastructures d'identité.Les utilisateurs de Zitadel peuvent télécharger leur propre image Avatar en utilisant divers types d'images, y compris SVG.SVG peut inclure des scripts, tels que JavaScript, qui peuvent être exécutés lors du rendu.En raison d'un en-tête de sécurité manquant, un attaquant pourrait injecter du code à un SVG pour accéder au compte de la victime et de l'ACIRC; & Euro;Une victime devrait ouvrir directement l'image malveillante dans le navigateur, où une seule session à Zitadel doit être active pour que cet exploit fonctionne.Si la victime possible avait eu plusieurs séances actives ou pas actives à Zitadel, l'attaque ne réussirait pas.Ce problème a été corrigé dans les version 2.39.2 et 2.38.2.
ZITADEL is an identity infrastructure management system. ZITADEL users can upload their own avatar image using various image types including SVG. SVG can include scripts, such as javascript, which can be executed during rendering. Due to a missing security header, an attacker could inject code to an SVG to gain access to the victim’s account in certain scenarios. A victim would need to directly open the malicious image in the browser, where a single session in ZITADEL needs to be active for this exploit to work. If the possible victim had multiple or no active sessions in ZITADEL, the attack would not succeed. This issue has been patched in version 2.39.2 and 2.38.2. |
| Envoyé | Oui |
| Condensat | 2023 46238 access account active attack attacker avatar been browser can certain code could cve directly due during executed exploit gain had has header identity image include including infrastructure inject issue javascript malicious management missing multiple need needs not open own patched possible rendering scenarios scripts security session sessions single succeed such svg system types upload users using various version victim victim’s where which work would zitadel |
| Tags | Threat |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.