Platform
nodejs
Component
webpack
Opgelost in
5.0.1
5.94.0
CVE-2024-43788 is een DOM Clobbering kwetsbaarheid in webpack die kan leiden tot cross-site scripting (XSS). Deze kwetsbaarheid maakt misbruik van de AutoPublicPathRuntimeModule van webpack, waardoor aanvallers via scriptloze HTML-elementen (zoals een img tag met een ongezuiverd name attribuut) kwaadaardige code kunnen injecteren. De impact is dat een aanvaller scripts kan uitvoeren in de context van de gebruiker. De kwetsbaarheid treft webpack versies lager dan 5.94.0. Een fix is beschikbaar in webpack versie 5.94.0.
CVE-2024-43788 is een 'DOM Clobbering'-kwetsbaarheid die is ontdekt in de AutoPublicPathRuntimeModule van Webpack. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige JavaScript-code in een webpagina te injecteren door de mogelijkheid te exploiteren om globale DOM-(Document Object Model)-eigenschappen te overschrijven via door de aanvaller gecontroleerde HTML-elementen. De kwetsbaarheid treedt op wanneer Webpack code genereert die globale DOM-variabelen gebruikt zonder de juiste validatie. Een aanvaller kan attributen zoals name in <img>-tags manipuleren om deze variabelen te overschrijven, wat mogelijk leidt tot de uitvoering van willekeurige code in de browser van het slachtoffer. De belangrijkste impact is de mogelijkheid van Cross-Site Scripting (XSS)-aanvallen, die de veiligheid en vertrouwelijkheid van gebruikers in gevaar brengen.
De kwetsbaarheid is ontdekt en gedemonstreerd in Canvas LMS, waar een aanvaller JavaScript-code kan injecteren via HTML-elementattributen, met name het name-attribuut van een <img>-tag. Webpack genereert bij het verwerken van deze code een module die kwetsbaar is voor DOM Clobbering. De aanvaller kan vervolgens deze module manipuleren om globale DOM-variabelen te overschrijven, waardoor de uitvoering van kwaadaardige code mogelijk wordt. Dit scenario benadrukt het belang van het valideren en desinfecteren van invoergegevens in webapplicaties die Webpack gebruiken, met name bij het verwerken van door de gebruiker aangeleverde gegevens. De kwetsbaarheid wordt uitgebuit vanwege de manier waarop Webpack automatische openbare paden en interactie met de DOM beheert.
Exploit Status
EPSS
1.77% (83% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2024-43788 is het upgraden naar Webpack-versie 5.94.0 of hoger. Deze versie bevat een correctie die voorkomt dat DOM-eigenschappen ongewenst worden overschreven. Daarnaast wordt een grondige beoordeling van de door Webpack gegenereerde code aanbevolen om potentiële toegangspunten voor DOM Clobbering-aanvallen te identificeren. Het implementeren van een strenge validatie en desinfectie van invoergegevens, met name van niet-vertrouwde bronnen, is cruciaal. Het gebruik van een Content Security Policy (CSP) om de toegestane scriptbronnen op de webpagina te beperken, kan helpen de impact van een succesvolle XSS-aanval te verzachten. Ten slotte is het een fundamentele veiligheidspraktijk om Webpack-afhankelijkheden up-to-date te houden.
Actualice webpack a la versión 5.94.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) causada por un gadget DOM Clobbering en el AutoPublicPathRuntimeModule. La actualización evitará la ejecución de código malicioso inyectado a través de elementos HTML controlados por el atacante.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
DOM Clobbering is een aanvalstechniek waarmee een aanvaller globale DOM-variabelen kan overschrijven, wat mogelijk leidt tot de uitvoering van willekeurige code.
Versie 5.94.0 van Webpack bevat een correctie die de DOM Clobbering-kwetsbaarheid voorkomt.
Voer een grondige beoordeling van de door Webpack gegenereerde code uit en pas maatregelen toe voor het valideren en desinfecteren van invoergegevens.
Configureer de CSP om de toegestane scriptbronnen op de webpagina te beperken.
Ja, er zijn statische en dynamische analyse-tools die kunnen helpen bij het detecteren van DOM Clobbering-kwetsbaarheden in Webpack-code.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.