Informazioni sul CVE-2025-30210
Bruno XSS On Environment Name
CWE ID: CWE-80
Base Score (CVSS): 8.7
CVE: CVE-2025-30210
Descrizione: Bruno è un IDE open source per esplorare e testare API. Prima della versione 1.39.1, i componenti tool-tip personalizzati, che utilizzavano react-tooltip internamente, impostavano il contenuto (in questo caso il nome dell’ambiente) come HTML crudo che veniva iniettato nel DOM quando si faceva hover. Combinato con restrizioni di Content Security Policy ampie, qualsiasi testo HTML valido contenente script inline poteva essere eseguito sul hover sull’ambiente specifico. Questa vulnerabilità rappresenta un’area di attacco limitata esclusivamente a scenari in cui gli utenti importano collezioni da fonti non attendibili o dannose. L’exploit richiede un’azione deliberata da parte dell’utente – in particolare, il download e l’apertura di un esporto di Bruno o Postman esterno di un ambiente dannoso. L’utente fa hover sull’ambiente del nome. Questa vulnerabilità è stata corretta nella versione 1.39.1.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- usebruno – bruno
Relazioni con altri prodotti
Produttore:usebruno
Prodotto: bruno
Anno: 2025
CWE: CWE-80
CVSS: 8.7