Plataforma
nodejs
Componente
striptags
Corregido en
3.2.1
3.2.0
La vulnerabilidad CVE-2021-32696 es una falla de confusión de tipos en la biblioteca striptags para Node.js. Esta falla permite la concatenación de cadenas no sanitizadas cuando se pasa un objeto similar a un array como parámetro html. El impacto principal es la posibilidad de ataques de Cross-Site Scripting (XSS), especialmente en aplicaciones web que utilizan esta biblioteca para limpiar datos de entrada. La vulnerabilidad afecta a versiones anteriores a 3.2.0 y se recomienda actualizar a esta versión para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad inyectando datos maliciosos en el parámetro html de la función striptags. Si el atacante puede controlar la estructura de la entrada, como al pasar parámetros de consulta directamente a la función, puede provocar que striptags concatene cadenas no sanitizadas. Esto puede resultar en la ejecución de código JavaScript arbitrario en el navegador del usuario, lo que permite al atacante robar cookies, redirigir al usuario a sitios web maliciosos o realizar otras acciones maliciosas en nombre del usuario. La severidad de este impacto depende de la sensibilidad de los datos que la aplicación maneja y del nivel de confianza que los usuarios depositan en ella.
La vulnerabilidad CVE-2021-32696 fue publicada el 18 de junio de 2021. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. Aunque no existen pruebas de explotación en la naturaleza, la posibilidad de XSS la convierte en una preocupación para aplicaciones web que utilizan striptags sin una validación adecuada de la entrada. Se recomienda monitorear las fuentes de información de seguridad para detectar cualquier nueva información sobre esta vulnerabilidad.
Applications that rely on the striptags Node.js package for sanitizing HTML input are at risk. This includes web applications that accept user-provided HTML content, such as forums, blog comment systems, or content management systems. Specifically, applications that directly use the output of striptags in HTML without further escaping are particularly vulnerable.
• nodejs / server:
npm list striptagsThis command will list installed versions of striptags. Check if the version is less than 3.2.0.
• nodejs / server:
grep -r 'striptags(' /path/to/your/appSearch your codebase for calls to the striptags function. Review these calls to ensure proper input validation.
• generic web:
Review application logs for unusual patterns or errors related to the striptags package. Look for instances where user-supplied data is directly injected into HTML output.
disclosure
Estado del Exploit
EPSS
0.29% (53% percentil)
Vector CVSS
La solución principal es actualizar la biblioteca striptags a la versión 3.2.0 o superior, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se puede implementar una solución alternativa validando que el parámetro html sea una cadena antes de llamar a la función striptags. Esto puede hacerse utilizando una simple comprobación de tipo en JavaScript. Además, se recomienda revisar el código de la aplicación para identificar cualquier otro lugar donde se utilice striptags y asegurarse de que la entrada se esté validando correctamente. Después de la actualización, confirme que la validación de entrada funciona correctamente mediante pruebas de inyección de código malicioso.
Actualice la dependencia striptags a la versión 3.2.0 o superior. Esto solucionará la vulnerabilidad de confusión de tipos que puede llevar a XSS. Ejecute `npm install striptags@latest` o `yarn upgrade striptags@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-32696 is a type-confusion vulnerability in the striptags Node.js package that can lead to XSS if an array-like object is passed as the 'html' parameter.
You are affected if you are using a version of striptags prior to 3.2.0 and are passing user-controlled data directly into the function without proper validation.
Upgrade the striptags package to version 3.2.0 or later. Alternatively, ensure the 'html' parameter is always a string before calling the function.
There is no current evidence of active exploitation campaigns targeting CVE-2021-32696, but public proof-of-concept exploits exist.
Refer to the striptags project's GitHub repository for details and updates: https://github.com/luxon/striptags/issues/71
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.