Plataforma
other
Componente
token-processing-service
Corregido en
10.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el Token Processing Service (TPS) de pki-core. Esta falla se debe a una falta de sanitización adecuada de parámetros almacenados en los tokens, lo que permite a un atacante inyectar código JavaScript malicioso. La vulnerabilidad afecta a todas las versiones 10.x.x de pki-core, y se recomienda actualizar a la versión 10.0.1 para solucionar el problema.
Un atacante que pueda modificar los parámetros de cualquier token puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario autenticado. Esto podría resultar en el robo de credenciales, la manipulación de datos sensibles o la redirección del usuario a sitios web maliciosos. El impacto se amplifica si el token se utiliza para acceder a recursos críticos o realizar acciones sensibles. La ejecución de JavaScript arbitrario en el contexto del usuario comprometido representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas afectados.
La vulnerabilidad CVE-2019-10180 fue publicada el 31 de marzo de 2020. No se ha reportado explotación activa en entornos reales, pero la naturaleza de XSS la convierte en un objetivo atractivo para atacantes. La probabilidad de explotación se considera moderada, especialmente en sistemas con configuraciones inseguras o tokens mal gestionados. No se ha añadido a KEV.
Organizations utilizing PKI Core versions 10.0.0 through 10.x.x are at risk, particularly those with systems where token parameters are accessible for modification by untrusted users. Shared hosting environments or deployments with overly permissive access controls could exacerbate the risk.
disclosure
Estado del Exploit
EPSS
0.83% (74% percentil)
Vector CVSS
La mitigación principal es actualizar a la versión 10.0.1 de pki-core, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar y endurecer las políticas de seguridad de los tokens, limitando los permisos y validando rigurosamente los parámetros antes de almacenarlos. Implementar una política de Content Security Policy (CSP) estricta en la aplicación web puede ayudar a mitigar el impacto de la vulnerabilidad, aunque no la elimina por completo. Monitorear los logs de la aplicación en busca de patrones sospechosos de manipulación de tokens también puede ayudar a detectar y responder a posibles ataques.
Actualizar pki-core a una versión posterior a la 10.x.x donde se haya corregido la vulnerabilidad de Cross-Site Scripting (XSS). Consultar las notas de la versión o el registro de cambios para identificar la versión corregida. Si no hay una versión corregida disponible, considerar deshabilitar o restringir el acceso al Token Processing Service (TPS) hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-10180 is a stored XSS vulnerability in PKI Core's Token Processing Service, allowing attackers to inject JavaScript via token parameters.
If you are using PKI Core versions 10.0.0 through 10.x.x, you are potentially affected by this vulnerability.
Upgrade to PKI Core version 10.0.1 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
There is currently no evidence of active exploitation of CVE-2019-10180.
Refer to the PKI Core security advisories on the official PKI Core website for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.