Plattform
nodejs
Komponente
webpack
Behoben in
5.0.1
5.94.0
A DOM Clobbering vulnerability has been identified in Webpack’s AutoPublicPathRuntimeModule, potentially leading to cross-site scripting (XSS) attacks. This occurs when unsanitized HTML elements, controlled by an attacker, interact with the module, allowing for malicious script injection. The vulnerability affects Webpack versions prior to 5.94.0, and a fix is available in version 5.94.0.
CVE-2024-43788 ist eine 'DOM Clobbering'-Schwachstelle, die im AutoPublicPathRuntimeModule von Webpack entdeckt wurde. Diese Schwachstelle ermöglicht es einem Angreifer, bösartigen JavaScript-Code in eine Webseite einzuschleusen, indem er die Möglichkeit ausnutzt, globale DOM-(Document Object Model)-Eigenschaften über vom Angreifer kontrollierte HTML-Elemente zu überschreiben. Die Schwachstelle tritt auf, wenn Webpack Code generiert, der globale DOM-Variablen ohne ordnungsgemäße Validierung verwendet. Ein Angreifer kann Attribute wie name in <img>-Tags manipulieren, um diese Variablen zu überschreiben, was potenziell zur Ausführung von beliebigem Code im Browser des Opfers führen kann. Der primäre Einfluss ist die Möglichkeit von Cross-Site Scripting (XSS)-Angriffen, die die Sicherheit und Vertraulichkeit der Benutzer gefährden.
Die Schwachstelle wurde im Canvas LMS entdeckt und demonstriert, wo ein Angreifer JavaScript-Code über HTML-Elementattribute, insbesondere das name-Attribut eines <img>-Tags, einschleusen kann. Webpack generiert bei der Verarbeitung dieses Codes ein Modul, das anfällig für DOM Clobbering ist. Der Angreifer kann dieses Modul dann manipulieren, um globale DOM-Variablen zu überschreiben, was die Ausführung von bösartigem Code ermöglicht. Dieses Szenario unterstreicht die Bedeutung der Validierung und Desinfektion von Eingabedaten in Webanwendungen, die Webpack verwenden, insbesondere bei der Verarbeitung von benutzer bereitgestellten Daten. Die Schwachstelle wird ausgenutzt, weil Webpack die automatischen öffentlichen Pfade und die Interaktion mit dem DOM auf eine bestimmte Weise verwaltet.
Exploit-Status
EPSS
1.77% (83% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abmilderung für CVE-2024-43788 ist das Upgrade auf Webpack-Version 5.94.0 oder höher. Diese Version enthält eine Korrektur, die verhindert, dass DOM-Eigenschaften unerwünscht überschrieben werden. Darüber hinaus wird eine gründliche Überprüfung des von Webpack generierten Codes empfohlen, um potenzielle Einfallstore für DOM Clobbering-Angriffe zu identifizieren. Die Implementierung einer strengen Validierung und Desinfektion von Eingabedaten, insbesondere von nicht vertrauenswürdigen Quellen, ist entscheidend. Die Verwendung einer Content Security Policy (CSP) zur Beschränkung der zulässigen Skriptquellen auf der Webseite kann dazu beitragen, die Auswirkungen eines erfolgreichen XSS-Angriffs zu mildern. Schließlich ist es eine grundlegende Sicherheitspraxis, die Webpack-Abhängigkeiten auf dem neuesten Stand zu halten.
Actualice webpack a la versión 5.94.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) causada por un gadget DOM Clobbering en el AutoPublicPathRuntimeModule. La actualización evitará la ejecución de código malicioso inyectado a través de elementos HTML controlados por el atacante.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
DOM Clobbering ist eine Angriffstechnik, die es einem Angreifer ermöglicht, globale DOM-Variablen zu überschreiben, was potenziell zur Ausführung von beliebigem Code führen kann.
Version 5.94.0 von Webpack enthält eine Korrektur, die die DOM Clobbering-Schwachstelle verhindert.
Führen Sie eine gründliche Überprüfung des von Webpack generierten Codes durch und wenden Sie Maßnahmen zur Validierung und Desinfektion von Eingabedaten an.
Konfigurieren Sie die CSP, um die zulässigen Skriptquellen auf der Webseite einzuschränken.
Ja, es gibt statische und dynamische Analyse-Tools, die helfen können, DOM Clobbering-Schwachstellen im Webpack-Code zu erkennen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.