Plataforma
nodejs
Componente
serialize-to-js
Corregido en
3.0.1
3.0.1
La vulnerabilidad CVE-2019-16772 es una falla de Cross-Site Scripting (XSS) presente en versiones de la librería serialize-to-js anteriores a la 3.0.1. Esta falla se debe a la falta de sanitización de expresiones regulares serializadas, lo que permite a un atacante inyectar código malicioso. Afortunadamente, esta vulnerabilidad no afecta a aplicaciones Node.js y se ha proporcionado una solución.
Un atacante podría explotar esta vulnerabilidad para inyectar scripts maliciosos en la página web, comprometiendo la seguridad de los usuarios. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página. La falta de sanitización de las expresiones regulares serializadas permite la ejecución de código arbitrario en el contexto del navegador del usuario, lo que amplía el potencial de daño. Aunque no afecta directamente a Node.js, cualquier aplicación que utilice serialize-to-js para generar código JavaScript susceptible a XSS está en riesgo.
Esta vulnerabilidad fue publicada el 6 de diciembre de 2019. No se ha reportado explotación activa en entornos reales. No se encuentra en el KEV de CISA. La disponibilidad de una solución rápida (actualización a la versión 3.0.1) reduce la probabilidad de explotación. Se recomienda monitorear la comunidad de seguridad para detectar cualquier nueva información sobre esta vulnerabilidad.
Applications built with Node.js that utilize the serialize-to-js package for data serialization, particularly those where the serialized data is rendered on the client-side without proper escaping, are at risk. Developers who have not recently reviewed their dependencies are also at increased risk.
• nodejs / server:
npm list serialize-to-jsIf the output shows a version less than 3.0.1, the system is vulnerable. • nodejs / server:
npm audit serialize-to-jsThis command will identify vulnerable versions and suggest upgrades.
• generic web: Examine application code for usage of serialize-to-js and ensure proper input validation and output encoding are implemented.
disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la librería serialize-to-js a la versión 3.0.1 o superior. Esta versión incluye la corrección de la falla de sanitización. Si la actualización no es inmediatamente posible, se recomienda revisar el código que utiliza serialize-to-js para identificar posibles puntos de inyección y aplicar medidas de validación y escape adicionales. Aunque no se aplican WAFs directamente, una validación robusta de la entrada del usuario es crucial. Tras la actualización, verifique que la librería se ha actualizado correctamente y que las expresiones regulares serializadas se están sanitizando adecuadamente.
Actualice el paquete serialize-to-js a la versión 3.0.1 o superior. Esto corrige la vulnerabilidad XSS al mitigar correctamente los caracteres inseguros en las expresiones regulares serializadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-16772 is a Cross-Site Scripting (XSS) vulnerability in the serialize-to-js Node.js package, caused by improper sanitization of serialized regular expressions.
You are affected if your project uses serialize-to-js versions prior to 3.0.1. Check your dependencies using npm list serialize-to-js or npm audit serialize-to-js.
Upgrade the serialize-to-js package to version 3.0.1 or later using npm install serialize-to-js@latest.
There are currently no known active exploitation campaigns targeting CVE-2019-16772, but the vulnerability's nature makes it a potential target.
Refer to the npm advisory for CVE-2019-16772: https://www.npmjs.com/advisories/1201
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.