DumbAssets through 1.0.11 contains a stored cross-site scripting vulnerability in asset fields including name, description, modelNumber, serialNumber, and tags that are stored without server-side sanitization and rendered using innerHTML without client-side escaping. Attackers can create or update assets with HTML or JavaScript payloads via the asset API endpoints to execute arbitrary scripts in the browsers of users viewing the asset list, and with Content-Security-Policy disabled, the injected scripts can make unrestricted connections to internal network services.
DumbAssets versions up to 1.0.11 contain stored XSS vulnerabilities in asset fields (name, description, modelNumber, serialNumber, tags) due to missing server-side sanitization and client-side escaping. Attackers can inject malicious scripts through API endpoints to compromise user browsers and potentially access internal network services when CSP is disabled.
يعاني تطبيق إدارة الأصول DumbAssets من ثغرة XSS مخزنة حرجة في حقول متعددة تشمل الاسم والوصف ورقم الموديل والرقم التسلسلي والعلامات. يمكن للمهاجمين استغلال نقاط نهاية API لحقن محتوى ضار يتم تنفيذه في متصفحات المستخدمين، مما قد يؤدي إلى سرقة البيانات والوصول غير المصرح به إلى الخدمات الداخلية.
تطبيق DumbAssets الإصدارات حتى 1.0.11 يحتوي على ثغرات XSS مخزنة في حقول الأصول بسبب غياب التطهير من جانب الخادم والهروب من جانب العميل. يمكن للمهاجمين حقن برامج نصية ضارة عبر نقاط نهاية API لتعريض متصفحات المستخدمين والوصول المحتمل إلى الخدمات الداخلية.
Upgrade DumbAssets to version 1.0.12 or later immediately. Implement server-side input validation and sanitization for all asset fields using established libraries. Apply output encoding/escaping on client-side rendering. Enable and enforce Content-Security-Policy headers. Conduct security code review of asset API endpoints. Implement input validation whitelisting for asset names, descriptions, and tags.
قم بترقية DumbAssets إلى الإصدار 1.0.12 أو أحدث فوراً. قم بتنفيذ التحقق من صحة المدخلات من جانب الخادم وتطهيرها لجميع حقول الأصول باستخدام المكتبات المعروفة. طبق ترميز الإخراج والهروب على عرض جانب العميل. فعّل وفرض رؤوس سياسة أمان المحتوى. أجرِ مراجعة أمان الكود لنقاط نهاية API للأصول. طبق التحقق من صحة المدخلات بقائمة بيضاء لأسماء الأصول والأوصاف والعلامات.