Plataforma
nodejs
Componente
flowise-embed
Corregido en
2.1.1
2.0.0
CVE-2024-9148 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado presente en flowise-embed, específicamente en versiones anteriores a 2.1.1. Esta falla permite a atacantes inyectar scripts maliciosos que se ejecutan en el navegador de usuarios vulnerables. La actualización a la versión 2.0.0 corrige esta vulnerabilidad, mitigando el riesgo de ataques XSS.
La vulnerabilidad XSS almacenado en flowise-embed permite a un atacante inyectar código JavaScript malicioso en la aplicación. Este código se ejecuta en el contexto del usuario, lo que permite al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o incluso tomar control de la cuenta del usuario. El impacto puede ser significativo, especialmente si la aplicación se utiliza para procesar información confidencial o si los usuarios tienen acceso a sistemas críticos. Un atacante podría, por ejemplo, modificar la interfaz de la aplicación para solicitar credenciales falsas, o inyectar código que recopile datos sensibles introducidos por el usuario.
Esta vulnerabilidad fue publicada el 25 de septiembre de 2024. No se han reportado activamente campañas de explotación a gran escala, pero la alta puntuación CVSS (9.6) indica un riesgo significativo. La disponibilidad de un PoC público podría facilitar la explotación por parte de atacantes. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.
• nodejs / supply-chain:
npm list flowise-embedIf the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.
disclosure
Estado del Exploit
EPSS
1.93% (83% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-9148 es actualizar flowise-embed a la versión 2.0.0 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el lado del servidor. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de scripts que se pueden ejecutar en la página. Revise y fortalezca las medidas de seguridad existentes para prevenir la inyección de código malicioso.
Actualice Flowise a la versión 2.1.1 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS almacenada. Asegúrese de validar y sanitizar todas las entradas de usuario para prevenir futuros ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9148 is a critical XSS vulnerability in the flowise-embed Node.js package, affecting versions less than 2.1.1 and Flowise Chat Embed versions before 2.0.0, due to insufficient input sanitization.
You are affected if you are using flowise-embed versions less than 2.1.1 or Flowise Chat Embed versions before 2.0.0 in your Node.js project.
Upgrade to version 2.0.0 or later of Flowise Chat Embed and flowise-embed. Implement input validation and output encoding as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the flowise-embed project's repository and related security advisories for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.