Platform
nodejs
Component
tenderdoctransfer
Opgelost in
0.41.157
CVE-2024-12641 beschrijft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid in TenderDocTransfer, een applicatie van Chunghwa Telecom. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om via phishing kwaadaardige JavaScript code uit te voeren in de browser van een gebruiker. De kwetsbaarheid treft versies 0.41.151 tot en met 0.41.156, en een fix is beschikbaar in versie 0.41.157.
De impact van deze XSS kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot het stelen van sessiecookies, het manipuleren van de gebruikersinterface en het uitvoeren van acties namens de gebruiker. Omdat de applicatie Node.js features ondersteunt, kunnen aanvallers deze kwetsbaarheid mogelijk misbruiken om OS-commando's uit te voeren, wat de potentiële schade aanzienlijk vergroot. Dit is vergelijkbaar met andere XSS exploits waarbij de context van de applicatie wordt gebruikt om de impact te vergroten.
Deze kwetsbaarheid is publiekelijk bekend sinds 2024-12-16. Er zijn momenteel geen openbare Proof-of-Concept (POC) exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat het risico op misbruik vergroot. De CVSS score van 9.6 duidt op een hoog risico. Het is onduidelijk of deze kwetsbaarheid momenteel actief wordt misbruikt, maar de combinatie van de hoge CVSS score en de relatieve eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren.
Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.
• nodejs / server:
grep -r 'TenderDocTransfer' /var/log/nodejs/• generic web:
curl -I <target_url> | grep -i 'X-XSS-Protection'• generic web:
curl -I <target_url> | grep -i 'Content-Security-Policy'disclosure
Exploit Status
EPSS
31.44% (97% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar TenderDocTransfer versie 0.41.157 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren. Controleer de input van de applicatie op potentieel schadelijke JavaScript code en valideer deze. Zorg ervoor dat alle API endpoints die gevoelige data verwerken, beschermd zijn met CSRF tokens. Na de upgrade, verifieer de fix door te proberen een XSS payload in te voeren via een API endpoint en controleer of de payload niet wordt uitgevoerd.
Werk TenderDocTransfer bij naar een gecorrigeerde versie die CSRF-bescherming voor de API's implementeert. Als tijdelijke maatregel, vermijd het openen van verdachte links of documenten die de gereflecteerde XSS-kwetsbaarheid kunnen exploiteren. Neem contact op met de leverancier (Chunghwa Telecom) voor de bijgewerkte versie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12641 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in Chunghwa Telecom's TenderDocTransfer, allowing attackers to execute JavaScript code in a user's browser.
You are affected if you are using TenderDocTransfer versions 0.41.151 through 0.41.156. Upgrade to 0.41.157 to mitigate the risk.
Upgrade TenderDocTransfer to version 0.41.157 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the vulnerability's critical severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the Chunghwa Telecom security advisory for detailed information and updates regarding CVE-2024-12641.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.