Webpack's AutoPublicPathRuntimeModule heeft een DOM Clobbering Gadget dat leidt tot XSS

### Samenvatting We hebben een DOM Clobbering-kwetsbaarheid ontdekt in Webpack's `AutoPublicPathRuntimeModule`. De DOM Clobbering-gadget in de module kan leiden tot cross-site scripting (XSS) op webpagina's waar scriptloze, door de aanvaller beheerde HTML-elementen (bijv. een `img`-tag met een niet-geschoond `name`-attribuut) aanwezig zijn. We hebben de real-world exploitatie van deze gadget gevonden in de Canvas LMS, waardoor een XSS-aanval kan plaatsvinden via een javascript-code die is gecompileerd door Webpack (het kwetsbare deel komt van Webpack). Wij geloven dat dit een ernstig probleem is. Als de code van Webpack niet bestand is tegen DOM Clobbering-aanvallen, kan dit leiden tot aanzienlijke beveiligingsproblemen in elke webapplicatie die Webpack-gecompileerde code gebruikt. ### Details #### Achtergrond DOM Clobbering is een type code-hergebruikaanval waarbij de aanvaller eerst een stuk niet-script, ogenschijnlijk onschuldige HTML-markeringen in de webpagina insluit (bijv. via een post of commentaar) en gebruikmaakt van de gadgets (stukjes js-code) die zich in de bestaande javascript-code bevinden om deze om te zetten in uitvoerbare code. Meer informatie over DOM Clobbering is hier te vinden: [1] https://scnps.co/papers/sp23_domclob.pdf [2] https://research.securitum.com/xss-in-