Une vulnérabilité XSS (cross-site scripting) a été corrigée dans le pastebin sécurisé open source « PrivateBin » qui pourrait permettre à un attaquant d’exécuter un code arbitraire.

PrivateBin est un outil en ligne utilisé pour stocker des informations. Les données sont cryptées et décryptées dans le navigateur à l’aide de 256 bits AES, ce qui signifie que le serveur n'a "aucune connaissance des données collées".

La faille découverte permet d'intégrer un code JavaScript malveillant dans un fichier image SVG, qui peut ensuite être joint aux collages.

Si un utilisateur ouvre un collage avec une pièce jointe SVG spécifiquement conçue et interagit avec l'image de prévisualisation alors que l'instance n'est pas protégée par une politique de sécurité de contenu appropriée, un attaquant peut également exécuter du code.

Une fois l'exécution réussie, il pourrait permettre l'accès à des cookies non protégés, à des données de stockage local, à des données de stockage de session, etc., pour d'autres applications fonctionnant sur le même domaine, lorsque ces cookies sont présents sur le navigateur de la victime. Cela peut inclure des jetons d'authentification.

PrivateBin a corrigée ce problème en créant une politique de sécurité de contenu (CSP) dans les versions 1.3.2 et 1.2.2. D’où la nécessité d’appliquer ces corrections afin d’atténuer les risques éventuels.