Plataforma
go
Componente
github.com/firebase/firebase-tools
Corregido en
13.6.1
13.6.0
La vulnerabilidad CVE-2024-4128 es una falla de Cross-Site Request Forgery (CSRF) detectada en la suite de emuladores de firebase-tools, desarrollada por GitHub. Esta vulnerabilidad permite a un atacante, bajo ciertas condiciones, realizar acciones no autorizadas en nombre de un usuario autenticado. La vulnerabilidad afecta a versiones de firebase-tools anteriores a la 13.6.0. Se recomienda actualizar a la versión 13.6.0 para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad CSRF para engañar a un usuario autenticado en que realice acciones no deseadas dentro del entorno de emulación de Firebase. Esto podría incluir la modificación de configuraciones, la ejecución de comandos no autorizados o el acceso a datos sensibles. El impacto directo depende de los permisos del usuario afectado y de la configuración del entorno de emulación. Si un usuario con privilegios elevados es víctima de un ataque CSRF, el impacto podría ser significativo, permitiendo al atacante comprometer la integridad del entorno de desarrollo o pruebas.
La vulnerabilidad fue publicada el 5 de junio de 2024. No se ha reportado explotación activa en entornos de producción. No se ha añadido a KEV. La probabilidad de explotación se considera baja debido a la naturaleza de la vulnerabilidad CSRF, que requiere la interacción del usuario y la manipulación del entorno de emulación.
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-4128 es actualizar a la versión 13.6.0 de firebase-tools. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Estas incluyen la implementación de controles de seguridad adicionales en la interfaz de usuario, como la verificación de tokens CSRF en cada solicitud. Además, se recomienda revisar y endurecer las políticas de permisos de usuario para limitar el impacto potencial de un ataque exitoso. Después de la actualización, confirme la mitigación verificando que las solicitudes no autorizadas son bloqueadas y que el entorno de emulación funciona como se espera.
Actualice firebase-tools a una versión posterior a la 13.6.0. Puede hacerlo ejecutando `npm install -g firebase-tools@latest` o `yarn global add firebase-tools@latest`. Esto corrige la vulnerabilidad CSRF que permite la exfiltración de datos del emulador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-4128 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Firebase Tools emulator suite, allowing attackers to trigger unintended actions within the emulator environment if a user is authenticated.
You are affected if you are using a version of Firebase Tools prior to 13.6.0. Check your version using firebase --version.
Upgrade to Firebase Tools version 13.6.0 or later. This version includes the necessary fix to prevent the CSRF vulnerability.
As of the publication date, there is no public evidence of CVE-2024-4128 being actively exploited in the wild.
Refer to the official Firebase release notes and security advisories on the Firebase website for details: https://firebase.google.com/docs/release-notes
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.