Plataforma
go
Componente
template
Corregido en
3.1.10
La vulnerabilidad CVE-2024-22199 es una falla de tipo XSS (Cross-Site Scripting) que afecta al paquete gofiber/template, utilizado para renderizar plantillas en aplicaciones web construidas con el framework Fiber. Esta falla permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de los usuarios al visitar páginas afectadas. Las versiones afectadas son 3.1.0 hasta la 3.1.8, y la vulnerabilidad ha sido resuelta en la versión 3.1.9.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso en los datos que se renderizan a través de la plantilla. Cuando un usuario visita una página que contiene este código inyectado, el script se ejecuta en su navegador, permitiendo al atacante robar cookies, redirigir al usuario a sitios maliciosos, o incluso modificar el contenido de la página web. El impacto puede ser significativo, afectando la confidencialidad, integridad y disponibilidad de la aplicación y sus datos. La ejecución de código arbitrario en el contexto del usuario compromete la seguridad de la aplicación y la información sensible que maneja.
La vulnerabilidad fue publicada el 11 de enero de 2024. Actualmente no se dispone de información sobre campañas de explotación activas. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles intentos de explotación. La alta puntuación CVSS indica un riesgo significativo y la necesidad de aplicar la mitigación lo antes posible.
Applications built with the Fiber web framework that utilize the gofiber/template package and are running versions 3.1.0 through 3.1.8 are at risk. This includes applications that directly render user-supplied data within templates without proper sanitization or encoding. Developers who have not recently reviewed their template usage are also at increased risk.
• go module: Check your go.mod file for gofiber/template versions below 3.1.9. Use go list -m all to identify dependencies and versions.
go list -m all | grep gofiber/template• generic web: Inspect web application logs for unusual JavaScript execution patterns or attempts to inject <script> tags. Look for error messages related to template rendering.
• generic web: Use a web proxy (e.g., Burp Suite) to intercept and analyze HTTP requests and responses for signs of XSS payloads.
disclosure
Estado del Exploit
EPSS
1.37% (80% percentil)
Vector CVSS
La solución principal es actualizar el paquete gofiber/template a la versión 3.1.9 o superior, que incluye una corrección que activa el autoescape por defecto. El autoescape escapa los caracteres especiales en los datos antes de renderizarlos, previniendo la ejecución de scripts maliciosos. Si la actualización a la versión 3.1.9 causa problemas de compatibilidad, se recomienda revisar la documentación del proyecto para identificar posibles soluciones alternativas o configuraciones que puedan mitigar el riesgo. Además, se recomienda validar y sanitizar todas las entradas de usuario antes de renderizarlas en las plantillas.
Actualice la biblioteca `gofiber/template` a la última versión disponible. La vulnerabilidad se soluciona configurando el autoescape a `true` por defecto. Asegúrese de que su aplicación utilice una versión de la biblioteca que tenga esta configuración habilitada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-22199 is a critical XSS vulnerability in the gofiber/template package, allowing attackers to inject malicious scripts into web pages. It affects versions 3.1.0 through 3.1.8.
You are affected if your application uses gofiber/template version 3.1.0 through 3.1.8 and renders user-supplied data within templates without proper sanitization.
Upgrade to version 3.1.9 or later of the gofiber/template package. This enables autoescape by default, mitigating the XSS risk.
While there are no confirmed active campaigns, the vulnerability's ease of exploitation makes it a potential target.
Refer to the gofiber/template repository on GitHub for updates and advisories: https://github.com/gofiber/template
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.