Persistent Cross-Site Scripting (XSS) in TechRadar for Confluence Server 5.6-7.13.0 (SYSS-2021-040/CVE-2021-37412)

Das Atlassian Confluence Plug-in “TechRadar” verwendet bis Version 1.1 keine ausreichende Eingabevalidierung. Dadurch sind Persistent Cross-Site Scripting (XSS)-Angriffe möglich. Im Feld "Title" wird JavaScript-Code ausgeführt, der beim Erstellen oder Editieren eines Radars dort eingefügt werden kann. Der Code wird ausgeführt, sobald ein Nutzer den entsprechenden Radar aufruft. Der Hersteller des TechRadar-Plug-ins hat die Schwachstelle mit Version 1.2 behoben.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2021-040

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.