Plataforma
nodejs
Componente
@orpc/openapi
Corregido en
1.13.10
1.13.9
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en la generación de documentación OpenAPI de la biblioteca @orpc/openapi. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso al controlar campos dentro de la especificación OpenAPI, como la descripción en la sección 'info'. La ejecución de este código ocurre cuando un usuario visualiza la documentación de la API generada, comprometiendo la seguridad de la aplicación. La vulnerabilidad afecta a versiones anteriores a 1.13.9 y se corrige con la actualización a la versión 1.13.9.
La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador del usuario que visualiza la documentación de la API. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página o incluso el acceso a información sensible. Dado que la documentación de la API a menudo se utiliza para fines de desarrollo y depuración, esta vulnerabilidad podría permitir a un atacante obtener acceso a información confidencial sobre la arquitectura y el funcionamiento interno de la aplicación. La inyección de JavaScript en la documentación de la API podría ser un punto de entrada para ataques más sofisticados, como la manipulación de datos o el acceso no autorizado a recursos del servidor.
Esta vulnerabilidad fue publicada el 2026-03-20. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas. La existencia de una prueba de concepto pública podría facilitar la explotación de esta vulnerabilidad por parte de atacantes con conocimientos técnicos. Se recomienda monitorear activamente los sistemas afectados para detectar posibles intentos de explotación.
Development teams using @orpc/openapi to generate API documentation are at risk. This includes organizations that rely on automated documentation generation tools and those with publicly accessible API documentation. Projects using older versions of @orpc/openapi, particularly those with limited security testing or input validation, are especially vulnerable.
• nodejs: Inspect the package.json file for @orpc/openapi versions prior to 1.13.9. Use npm list @orpc/openapi to confirm the installed version.
• generic web: Monitor API documentation endpoints for unusual JavaScript execution. Examine access logs for requests containing suspicious characters or payloads in the info.description parameter.
• generic web: Use curl to test the API documentation endpoint with a simple XSS payload in the info.description parameter: curl 'YOURAPIENDPOINT?info.description=<script>alert(1)</script>' and check the response for the alert.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la biblioteca @orpc/openapi a la versión 1.13.9 o superior. Esta versión incluye una corrección que impide la inyección de JavaScript en la documentación de la API. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario que se utilizan para generar la documentación de la API. Además, se puede considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Es crucial revisar la configuración de la documentación de la API para asegurar que no se expone información sensible o confidencial.
Actualice oRPC a la versión 1.13.9 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la generación de documentación OpenAPI. La actualización evitará que un atacante controle campos dentro de la especificación OpenAPI y ejecute JavaScript arbitrario cuando un usuario vea la documentación generada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33331 is a Stored Cross-Site Scripting (XSS) vulnerability in the OpenAPI documentation generation of @orpc/openapi, allowing attackers to inject JavaScript via the OpenAPI specification.
You are affected if you are using @orpc/openapi versions prior to 1.13.9 and are vulnerable to XSS attacks through the API documentation.
Upgrade to version 1.13.9 or later of @orpc/openapi. Implement input validation on user-controlled data within the OpenAPI specification.
No active exploitation has been confirmed at this time, but the vulnerability is considered high severity and should be addressed promptly.
Refer to the @orpc/openapi project's repository or website for the official advisory and release notes related to this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.