Plataforma
nodejs
Componente
dijit
Corregido en
1.11.12
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.11.11
El CVE-2020-4051 describe una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin LinkDialog del editor Dijit. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. Afecta a versiones anteriores a 1.11.11 de Dijit Editor. Se recomienda aplicar las actualizaciones disponibles para solucionar este problema.
La vulnerabilidad XSS en el plugin LinkDialog de Dijit Editor permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario o para realizar otras acciones maliciosas en nombre del usuario. La severidad de este impacto depende de la sensibilidad de los datos procesados por la aplicación y de los privilegios del usuario afectado.
El CVE-2020-4051 fue publicado el 15 de junio de 2020. No se han reportado casos de explotación activa en entornos de producción. No se encuentra listado en el KEV de CISA. La disponibilidad de un parche indica una baja probabilidad de explotación a menos que se descubra una nueva técnica de ataque.
Applications utilizing the Dojo Dijit Editor plugin, particularly those handling user-supplied data within the LinkDialog, are at risk. This includes web applications built with Node.js and those leveraging Dojo Dijit as a core component. Legacy applications using older, unpatched versions of Dojo Dijit are particularly vulnerable.
• nodejs / supply-chain:
npm list dijit• nodejs / supply-chain:
npm audit dijit• generic web: Inspect the HTML source code of pages using the Dojo Dijit Editor for any unusual JavaScript code injected into the LinkDialog.
disclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
Vector CVSS
La mitigación principal para el CVE-2020-4051 es actualizar a una versión de Dijit Editor que incluya la corrección, específicamente la versión 1.11.11 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar el código del plugin LinkDialog para identificar y corregir cualquier entrada de datos no validada. Además, implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de scripts que pueden ejecutarse en la página web. Después de la actualización, confirme la ausencia de la vulnerabilidad revisando el código fuente y realizando pruebas de penetración.
Actualice la biblioteca Dijit a la versión 1.11.11, 1.12.9, 1.13.8, 1.14.7, 1.15.4 o 1.16.3, o a una versión posterior que contenga la corrección para la vulnerabilidad XSS en el plugin LinkDialog del Editor. Esto evitará la ejecución de scripts no autorizados en el contexto de la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-4051 is a Cross-Site Scripting (XSS) vulnerability in the Dojo Dijit Editor’s LinkDialog plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Dojo Dijit versions prior to 1.11.11. Check your dependencies to determine if you are vulnerable.
Upgrade to Dojo Dijit version 1.11.11 or later to resolve the vulnerability. Input validation is a temporary workaround.
There are no widespread reports of CVE-2020-4051 being actively exploited at this time.
Refer to the Dojo Dijit GitHub repository for more information: https://github.com/dojo/dijit/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.