प्लेटफ़ॉर्म
nodejs
घटक
webpack
में ठीक किया गया
5.0.1
5.94.0
CVE-2024-43788 Webpack के AutoPublicPathRuntimeModule में खोजी गई एक DOM Clobbering भेद्यता है। इस मॉड्यूल में DOM Clobbering गैजेट, वेब पेजों में क्रॉस-साइट स्क्रिप्टिंग (XSS) का कारण बन सकता है, जहाँ स्क्रिप्टलेस हमलावर-नियंत्रित HTML तत्व मौजूद हैं। यह भेद्यता Canvas LMS में भी पाई गई। Webpack संस्करण 5.94.0 में इस समस्या को ठीक कर दिया गया है।
CVE-2024-43788 Webpack के AutoPublicPathRuntimeModule में एक DOM Clobbering भेद्यता है। यह भेद्यता एक हमलावर को हमलावर द्वारा नियंत्रित HTML तत्वों में वैश्विक DOM (Document Object Model) गुणों को ओवरराइट करके वेब पेज में दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है। जब Webpack वैश्विक DOM चर का उपयोग करने वाला कोड उत्पन्न करता है, लेकिन उचित सत्यापन नहीं करता है, तो यह भेद्यता होती है। एक हमलावर <img> टैग के name विशेषता जैसे विशेषताओं में हेरफेर करके इन चर को ओवरराइट कर सकता है, जिससे पीड़ित के ब्राउज़र में मनमाना कोड निष्पादित हो सकता है। मुख्य प्रभाव क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों की संभावना है, जो उपयोगकर्ता की सुरक्षा और गोपनीयता को खतरे में डालती है।
यह भेद्यता Canvas LMS में खोजी गई और प्रदर्शित की गई, जहां एक हमलावर <img> टैग के name विशेषता जैसे HTML तत्व विशेषताओं के माध्यम से JavaScript कोड इंजेक्ट कर सकता है। जब Webpack इस कोड को संसाधित करता है, तो यह एक मॉड्यूल उत्पन्न करता है जो DOM Clobbering के लिए असुरक्षित है। फिर हमलावर इस मॉड्यूल को हेरफेर करके वैश्विक DOM चर को ओवरराइट कर सकता है, जिससे दुर्भावनापूर्ण कोड का निष्पादन सक्षम हो जाता है। यह परिदृश्य Webpack का उपयोग करने वाले वेब अनुप्रयोगों में, विशेष रूप से उपयोगकर्ता द्वारा प्रदान किए गए डेटा को संभालते समय, इनपुट डेटा को मान्य और साफ करने के महत्व पर प्रकाश डालता है। Webpack स्वचालित सार्वजनिक पथ और DOM के साथ बातचीत करने के तरीके के कारण इस भेद्यता का फायदा उठाया जाता है।
एक्सप्लॉइट स्थिति
EPSS
1.77% (83% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-43788 के लिए प्राथमिक शमन उपाय Webpack को संस्करण 5.94.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में DOM गुणों के अनपेक्षित ओवरराइट को रोकने वाला एक फिक्स शामिल है। इसके अतिरिक्त, DOM Clobbering हमलों के संभावित प्रवेश बिंदुओं की पहचान करने के लिए Webpack द्वारा उत्पन्न कोड की पूरी तरह से समीक्षा करने की सिफारिश की जाती है। अविश्वसनीय स्रोतों से इनपुट डेटा के सख्त सत्यापन और सफाई को लागू करना महत्वपूर्ण है। Content Security Policy (CSP) का उपयोग करके वेब पेज पर अनुमत स्क्रिप्ट स्रोतों को प्रतिबंधित करने से सफल XSS हमले के प्रभाव को कम करने में मदद मिल सकती है। अंत में, Webpack निर्भरता को अद्यतित रखना एक बुनियादी सुरक्षा अभ्यास है।
Actualice webpack a la versión 5.94.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) causada por un gadget DOM Clobbering en el AutoPublicPathRuntimeModule. La actualización evitará la ejecución de código malicioso inyectado a través de elementos HTML controlados por el atacante.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
DOM Clobbering एक हमला तकनीक है जो एक हमलावर को वैश्विक DOM चर को ओवरराइट करने की अनुमति देती है, जिससे मनमाना कोड निष्पादित हो सकता है।
Webpack के संस्करण 5.94.0 में DOM Clobbering भेद्यता को रोकने वाला एक फिक्स शामिल है।
Webpack द्वारा उत्पन्न कोड की पूरी तरह से समीक्षा करें और इनपुट डेटा सत्यापन और सफाई के उपाय लागू करें।
CSP को कॉन्फ़िगर करें ताकि वेब पेज पर अनुमत स्क्रिप्ट स्रोतों को प्रतिबंधित किया जा सके।
हाँ, ऐसे स्थिर और गतिशील विश्लेषण उपकरण हैं जो Webpack कोड में DOM Clobbering भेद्यताओं का पता लगाने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।