Plateforme
nodejs
Composant
flowise-embed
Corrigé dans
2.1.1
2.0.0
La vulnérabilité CVE-2024-9148 est une faille de Cross-Site Scripting (XSS) stockée affectant flowise-embed, ainsi que Flowise Chat Embed. Cette faille est due à un manque de validation et d'assainissement des entrées, permettant à un attaquant d'injecter des scripts malveillants. Les versions concernées sont celles antérieures à 2.1.1 pour flowise-embed et antérieures à 2.0.0 pour Flowise Chat Embed. Une mise à jour vers la version 2.0.0 corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité XSS peut injecter du code JavaScript malveillant dans des pages web consultées par d'autres utilisateurs. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, modifier le contenu de la page web, ou même exécuter des actions au nom de l'utilisateur affecté. L'impact est significatif car il peut compromettre la confidentialité des données sensibles, l'intégrité des informations affichées et la disponibilité du service. Dans un contexte d'intégration de Flowise Chat Embed, l'attaquant pourrait compromettre l'ensemble de l'application qui l'utilise, en accédant à des informations sensibles ou en manipulant les interactions avec les utilisateurs.
Cette vulnérabilité a été rendue publique le 25 septembre 2024. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature critique de la vulnérabilité et sa facilité d'exploitation potentielle la rendent susceptible d'être ciblée. Il n'y a pas d'indications qu'elle ait été ajoutée au KEV (CISA Known Exploited Vulnerabilities) à ce jour. Des preuves de concept (PoC) pourraient rapidement apparaître en raison de la simplicité de l'exploitation des failles XSS.
Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.
• nodejs / supply-chain:
npm list flowise-embedIf the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.
disclosure
Statut de l'Exploit
EPSS
1.93% (percentile 83%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour flowise-embed vers la version 2.1.1 ou supérieure, et Flowise Chat Embed vers la version 2.0.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement Flowise Chat Embed ou de restreindre l'accès aux fonctionnalités qui utilisent cette intégration. En attendant la mise à jour, une validation stricte des entrées utilisateur côté serveur peut aider à atténuer le risque, bien que cela ne constitue pas une solution complète. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais des règles générales de détection de XSS peuvent être appliquées.
Mettez à jour Flowise vers la version 2.1.1 ou supérieure. Cette version contient la correction pour la vulnérabilité XSS stockée. Assurez-vous de valider et de nettoyer toutes les entrées utilisateur pour prévenir de futures attaques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9148 is a critical XSS vulnerability in the flowise-embed Node.js package, affecting versions less than 2.1.1 and Flowise Chat Embed versions before 2.0.0, due to insufficient input sanitization.
You are affected if you are using flowise-embed versions less than 2.1.1 or Flowise Chat Embed versions before 2.0.0 in your Node.js project.
Upgrade to version 2.0.0 or later of Flowise Chat Embed and flowise-embed. Implement input validation and output encoding as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the flowise-embed project's repository and related security advisories for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.