Platform
ruby
Component
ember-source
Opgelost in
1.2.2
CVE-2014-0046 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in Ember.js, specifiek in de link-to helper wanneer deze in niet-blokvorm wordt gebruikt. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige webscripts of HTML in te voegen. De kwetsbaarheid treft versies van Ember.js tot en met 1.2.1.1. Een upgrade naar versie 1.2.2 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het injecteren van kwaadaardige scripts in webpagina's die door Ember.js worden gegenereerd. Dit kan aanvallers in staat stellen om gebruikerssessies te kapen, gevoelige informatie te stelen (zoals cookies en authenticatietokens), of de inhoud van de webpagina te manipuleren. De impact is afhankelijk van de privileges van de gebruiker die de geïnfecteerde pagina bezoekt. In scenario's waar gebruikers met administratorrechten de pagina bezoeken, kan de impact aanzienlijk zijn, wat leidt tot volledige controle over de applicatie.
Er zijn geen bekende actieve campagnes gerelateerd aan CVE-2014-0046. Er zijn publieke Proof-of-Concept (PoC) exploits beschikbaar, wat het risico op misbruik vergroot. De kwetsbaarheid is opgenomen in de NVD database en de CISA KEV catalogus, wat de ernst ervan bevestigt. De lage CVSS score duidt op een beperkte exploitatie kans, maar de beschikbaarheid van PoCs vereist aandacht.
Exploit Status
EPSS
0.43% (63% percentiel)
De primaire mitigatie voor CVE-2014-0046 is het upgraden van Ember.js naar versie 1.2.2 of hoger. Indien een directe upgrade niet mogelijk is, kan het gebruik van een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren, een tijdelijke oplossing bieden. Controleer ook de code op plaatsen waar de link-to helper in niet-blokvorm wordt gebruikt en implementeer inputvalidatie en output encoding om de risico's te verminderen. Na de upgrade, verifieer de fix door te testen met bekende XSS payloads in de link-to helper.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2014-0046 is a Cross-Site Scripting (XSS) vulnerability affecting Ember.js versions 1.2.x, 1.3.x, and 1.4.x before 1.2.2, 1.3.2, and 1.4.0-beta.6. It allows attackers to inject scripts via the title attribute in the link-to helper.
You are affected if your application uses Ember.js versions 1.2.x before 1.2.2, 1.3.x before 1.3.2, or 1.4.x before 1.4.0-beta.6. Check your Ember.js version using npm list ember.
Upgrade to Ember.js version 1.2.2 or later. If upgrading is not possible, implement stricter input validation and output encoding on the title attribute.
While no widespread active campaigns are definitively linked, XSS vulnerabilities are frequently targeted. Public POCs exist, indicating potential for exploitation.
Refer to the Ember.js security advisories and release notes for details: https://discuss.emberjs.com/t/ember-js-security-advisories/13283
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.