Platform
nodejs
Component
highcharts
Opgelost in
9.0.1
9.0.0
CVE-2021-29489 is een Cross-Site Scripting (XSS) kwetsbaarheid in Highcharts versies 8 en eerder. Deze kwetsbaarheid stelt aanvallers in staat om schadelijke code uit te voeren in de browser van een gebruiker, vooral wanneer de useHTML optie is ingeschakeld. Het probleem ontstaat doordat de chart-opties structuur niet systematisch wordt gefilterd op XSS-vectoren, waardoor ongefilterde HTML-strings direct in de DOM worden ingevoegd. Upgrade naar versie 9.0.0 om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2021-29489 kan leiden tot het stelen van gevoelige informatie, zoals cookies en sessiegegevens, en tot het manipuleren van de gebruikersinterface van de webapplicatie. Aanvallers kunnen kwaadaardige scripts injecteren die de acties van de gebruiker kunnen nabootsen, waardoor ze toegang kunnen krijgen tot accounts en gevoelige data. De ernst van de impact hangt af van de gevoeligheid van de data die via Highcharts wordt weergegeven en de privileges van de gebruiker. Het gebruik van character replacement tricks of malformed HTML kan ook code injecteren, zelfs wanneer useHTML op false staat.
Deze kwetsbaarheid werd publiek bekendgemaakt op 6 mei 2021. Er zijn geen bekende actieve campagnes gerapporteerd die deze specifieke kwetsbaarheid uitbuiten, maar XSS-kwetsbaarheden zijn over het algemeen een veelvoorkomend doelwit voor aanvallers. Er zijn publieke Proof-of-Concept (POC) exploits beschikbaar, wat het risico op uitbuiting vergroot. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de ernst ervan benadrukt.
Exploit Status
EPSS
0.20% (42% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-29489 is het upgraden naar Highcharts versie 9.0.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade niet direct mogelijk is, overweeg dan om de chart-configuratie te valideren en te saniteren voordat deze wordt gebruikt. Zorg ervoor dat alle data die wordt gebruikt om de chart-opties te configureren afkomstig is van een vertrouwde bron. Gebruik indien mogelijk de useHTML optie niet, of beperk het gebruik ervan tot vertrouwde bronnen. Implementeer een Web Application Firewall (WAF) om XSS-aanvallen te detecteren en te blokkeren.
Actualiseer Highcharts JS naar versie 9.0.0 of hoger. Indien u niet kunt updaten, pas dan DOMPurify recursief toe op de options structuur van de chart om de kwaadaardige markup te filteren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into web pages viewed by other users.
Updating to the latest version of Highcharts fixes this vulnerability and protects your users from XSS attacks.
If you can't update immediately, implement mitigation measures such as input data validation and escaping, and implementing CSP.
Perform a security audit of your website or use vulnerability scanning tools to identify potential XSS vulnerabilities.
CSP (Content Security Policy) is a security layer that helps prevent XSS attacks by restricting the sources of content that the browser can load.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.