Plateforme
nodejs
Composant
tenderdoctransfer
Corrigé dans
0.41.157
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans TenderDocTransfer, un logiciel de Chunghwa Telecom. Cette faille permet à un attaquant d'injecter et d'exécuter du code JavaScript malveillant dans le navigateur d'un utilisateur. Les versions affectées sont 0.41.151 à 0.41.156. La mise à jour vers la version 0.41.157 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de la victime. Dans le cas de TenderDocTransfer, l'attaquant peut exploiter les APIs non protégées par CSRF pour injecter du code malveillant via des attaques de phishing. Le fait que l'application utilise Node.js permet à l'attaquant de potentiellement exécuter des commandes sur le système d'exploitation, augmentant considérablement la surface d'attaque et le potentiel de dommages. Cette vulnérabilité pourrait être utilisée pour voler des informations sensibles, modifier le comportement de l'application ou compromettre l'ensemble du système.
Cette vulnérabilité a été rendue publique le 16 décembre 2024. Elle est considérée comme critique en raison de son score CVSS de 9.6 et du potentiel d'exécution de commandes OS. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la présence de Node.js et la facilité d'exploitation via des attaques de phishing rendent cette vulnérabilité particulièrement préoccupante. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité malveillante.
Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.
• nodejs / server:
grep -r 'TenderDocTransfer' /var/log/nodejs/• generic web:
curl -I <target_url> | grep -i 'X-XSS-Protection'• generic web:
curl -I <target_url> | grep -i 'Content-Security-Policy'disclosure
Statut de l'Exploit
EPSS
31.44% (percentile 97%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour TenderDocTransfer vers la version 0.41.157, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est crucial d'implémenter une protection CSRF (Cross-Site Request Forgery) pour toutes les APIs exposées par TenderDocTransfer. Cela peut être réalisé en ajoutant des jetons CSRF à chaque requête et en validant ces jetons côté serveur. En attendant, une configuration de WAF (Web Application Firewall) peut être mise en place pour bloquer les requêtes contenant des scripts potentiellement malveillants. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettre à jour TenderDocTransfer vers une version corrigée qui implémente une protection CSRF pour les API. En tant que mesure temporaire, éviter d'ouvrir des liens ou des documents suspects qui pourraient exploiter la vulnérabilité XSS refletée. Contacter le fournisseur (Chunghwa Telecom) pour obtenir la version mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12641 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in Chunghwa Telecom's TenderDocTransfer, allowing attackers to execute JavaScript code in a user's browser.
You are affected if you are using TenderDocTransfer versions 0.41.151 through 0.41.156. Upgrade to 0.41.157 to mitigate the risk.
Upgrade TenderDocTransfer to version 0.41.157 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the vulnerability's critical severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the Chunghwa Telecom security advisory for detailed information and updates regarding CVE-2024-12641.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.