Plataforma
nodejs
Componente
tenderdoctransfer
Corregido en
0.41.157
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en TenderDocTransfer, una aplicación de Chunghwa Telecom. Esta falla permite a atacantes inyectar y ejecutar código JavaScript malicioso en el navegador de un usuario, comprometiendo potencialmente la confidencialidad y la integridad de los datos. La vulnerabilidad afecta a las versiones 0.41.151 a 0.41.156, y se recomienda actualizar a la versión 0.41.157 para mitigar el riesgo.
La vulnerabilidad XSS en TenderDocTransfer permite a un atacante, mediante técnicas de phishing, ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o incluso la modificación del contenido de la página web. Dado que la aplicación utiliza Node.js, un atacante podría potencialmente explotar esta vulnerabilidad para ejecutar comandos en el sistema operativo subyacente, ampliando significativamente el alcance del ataque. La falta de protección CSRF agrava el riesgo, facilitando la explotación a través de ataques de phishing dirigidos.
Esta vulnerabilidad ha sido publicada el 16 de diciembre de 2024. No se ha reportado su inclusión en el KEV de CISA, pero la alta puntuación CVSS (9.6) indica un riesgo significativo. La posibilidad de ejecutar comandos en el sistema operativo a través de Node.js aumenta la probabilidad de explotación. Se recomienda monitorear activamente la situación y aplicar las mitigaciones necesarias.
Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.
• nodejs / server:
grep -r 'TenderDocTransfer' /var/log/nodejs/• generic web:
curl -I <target_url> | grep -i 'X-XSS-Protection'• generic web:
curl -I <target_url> | grep -i 'Content-Security-Policy'disclosure
Estado del Exploit
EPSS
31.44% (97% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar TenderDocTransfer a la versión 0.41.157, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la configuración de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas que contengan código JavaScript sospechoso. Además, es crucial educar a los usuarios sobre los riesgos del phishing y la importancia de no hacer clic en enlaces sospechosos. Monitorear los logs de la aplicación en busca de patrones de inyección de código también puede ayudar a detectar y responder a posibles ataques.
Actualizar TenderDocTransfer a una versión corregida que implemente protección CSRF para las APIs. Como medida temporal, evitar abrir enlaces o documentos sospechosos que puedan explotar la vulnerabilidad XSS reflejada. Contactar al proveedor (Chunghwa Telecom) para obtener la versión actualizada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12641 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in Chunghwa Telecom's TenderDocTransfer, allowing attackers to execute JavaScript code in a user's browser.
You are affected if you are using TenderDocTransfer versions 0.41.151 through 0.41.156. Upgrade to 0.41.157 to mitigate the risk.
Upgrade TenderDocTransfer to version 0.41.157 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the vulnerability's critical severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the Chunghwa Telecom security advisory for detailed information and updates regarding CVE-2024-12641.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.