प्लेटफ़ॉर्म
nodejs
घटक
dompurify
में ठीक किया गया
2.5.1
3.1.4
2.5.0
DOMpurify एक लोकप्रिय JavaScript लाइब्रेरी है जिसका उपयोग HTML को सैनिटाइज करने के लिए किया जाता है। CVE-2024-47875 एक गंभीर भेद्यता है जो नेस्टिंग के कारण mXSS (mutation XSS) की अनुमति देती है। इसका मतलब है कि हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं। यह भेद्यता DOMpurify के 2.x संस्करणों और उससे पहले के संस्करणों को प्रभावित करती है। 2.5.0 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को वेब एप्लिकेशन में क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों को सफलतापूर्वक अंजाम देने की अनुमति देती है। XSS हमलों के माध्यम से, हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ता के सत्र को हाईजैक कर सकते हैं, या वेबसाइट की सामग्री को बदल सकते हैं। DOMpurify का व्यापक रूप से विभिन्न वेब अनुप्रयोगों में उपयोग किया जाता है, इसलिए इस भेद्यता का शोषण कई अलग-अलग वेबसाइटों और सेवाओं को प्रभावित कर सकता है। इस भेद्यता का प्रभाव गंभीर है क्योंकि यह हमलावरों को उपयोगकर्ता के डेटा और सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है।
CVE-2024-47875 को GHSA-mmhx-hmjr-r674 (CVE-2024-45801) से जोड़ा गया है, जो समान भेद्यता का एक अलग उदाहरण है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (POC) कोड मौजूद है, जो इस भेद्यता के शोषण को आसान बनाता है। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है। यह भेद्यता 2024-10-11 को प्रकाशित हुई थी।
Applications and websites that rely on DOMpurify to sanitize user-supplied HTML input are at risk. This includes content management systems (CMS), forums, online editors, and any other web application that allows users to submit HTML content. Specifically, applications using older versions of DOMpurify or those that haven't implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
npm list dompurifyCheck the installed version of DOMpurify. If it's less than 2.5.0, the system is vulnerable. • generic web: Inspect the DOMPurify JavaScript file for the fix (commit hash 0ef5e537). If the file doesn't contain this commit, the system is vulnerable. • generic web: Review application logs for any unusual JavaScript execution patterns or errors related to DOMPurify.
disclosure
poc
एक्सप्लॉइट स्थिति
EPSS
0.70% (72% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, DOMpurify को 2.5.0 या उसके बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण इनपुट को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट को सैनिटाइज करने और आउटपुट को एन्कोड करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। DOMpurify के पुराने संस्करणों का उपयोग करने वाले अनुप्रयोगों की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए DOMpurify इंस्टॉलेशन की जांच करें कि नवीनतम संस्करण सफलतापूर्वक स्थापित हो गया है।
DOMPurify लाइब्रेरी को संस्करण 2.5.0 या उच्चतर, या संस्करण 3.1.3 या उच्चतर में अपडेट करें। यह नेस्टिंग-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को ठीक कर देगा। आप npm या yarn जैसे अपने पसंदीदा पैकेज मैनेजर का उपयोग करके लाइब्रेरी को अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-47875 DOMpurify में नेस्टिंग के कारण होने वाली एक गंभीर mXSS भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप DOMpurify के 2.x संस्करण या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
DOMpurify को 2.5.0 या उसके बाद के संस्करण में तुरंत अपडेट करें।
इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है, लेकिन सार्वजनिक POC उपलब्ध होने के कारण जोखिम अधिक है।
आप DOMpurify GitHub रिपॉजिटरी में सलाहकार पा सकते हैं: https://github.com/cure53/DOMPurify/tree/0ef5e537a514f904b6aa1d7ad9e749e365d7185f
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।