Platform
nodejs
Component
dompurify
Opgelost in
2.5.1
3.1.4
2.5.0
CVE-2024-47875 beschrijft een kritieke nesting-based mXSS (mutated Cross-Site Scripting) kwetsbaarheid in DOMpurify, een populaire JavaScript bibliotheek voor het sanitiseren van HTML. Deze kwetsbaarheid stelt aanvallers in staat om schadelijke scripts uit te voeren via specifieke nesting-technieken. De kwetsbaarheid treft versies van DOMpurify vóór 2.5.0. Een patch is beschikbaar in versie 2.5.0.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het uitvoeren van willekeurige JavaScript-code in de context van de gebruiker. Dit kan resulteren in accountovername, datalekken, defacement van websites en andere schadelijke acties. Aangezien DOMpurify vaak wordt gebruikt om HTML-invoer te sanitiseren, kan deze kwetsbaarheid een breed scala aan webapplicaties beïnvloeden die DOMpurify afhankelijk zijn. De impact is vergelijkbaar met traditionele XSS-aanvallen, maar de nesting-techniek maakt het mogelijk om sanitiseringsfilters te omzeilen die anders effectief zouden zijn. De beschikbaarheid van een proof-of-concept (POC) verhoogt het risico op snelle exploitatie.
Er is een publiek beschikbaar proof-of-concept (POC) voor deze kwetsbaarheid, wat het risico op exploitatie aanzienlijk verhoogt. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV), wat de urgentie van mitigatie onderstreept. Er zijn momenteel geen meldingen van actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de beschikbaarheid van een POC maakt dit mogelijk in de toekomst. De publicatiedatum van de CVE is 2024-10-11.
Applications and websites that rely on DOMpurify to sanitize user-supplied HTML input are at risk. This includes content management systems (CMS), forums, online editors, and any other web application that allows users to submit HTML content. Specifically, applications using older versions of DOMpurify or those that haven't implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
npm list dompurifyCheck the installed version of DOMpurify. If it's less than 2.5.0, the system is vulnerable. • generic web: Inspect the DOMPurify JavaScript file for the fix (commit hash 0ef5e537). If the file doesn't contain this commit, the system is vulnerable. • generic web: Review application logs for any unusual JavaScript execution patterns or errors related to DOMPurify.
disclosure
poc
Exploit Status
EPSS
0.70% (72% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van DOMpurify naar versie 2.5.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra validatie- en sanitiseringslagen in uw applicatie. WAF-regels kunnen worden ingesteld om verdachte nesting-patronen in HTML-invoer te detecteren en te blokkeren. Het monitoren van webapplicatielogboeken op ongebruikelijke JavaScript-activiteit kan helpen bij het detecteren van pogingen tot exploitatie. Het is belangrijk om te onthouden dat DOMpurify zelf geen volledige bescherming biedt tegen alle soorten XSS-aanvallen; het is een hulpmiddel dat moet worden gebruikt in combinatie met andere beveiligingsmaatregelen.
Werk de DOMPurify bibliotheek bij naar versie 2.5.0 of hoger, of naar versie 3.1.3 of hoger. Dit zal de nesting-based Cross-Site Scripting (XSS) kwetsbaarheid oplossen. U kunt de bibliotheek bijwerken met behulp van uw voorkeurs pakketbeheerder, zoals npm of yarn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-47875 is a critical vulnerability in DOMpurify allowing attackers to bypass sanitization and execute malicious JavaScript through nesting exploits. It affects versions before 2.5.0.
You are affected if you are using DOMpurify version 2.4.0 or earlier. Check your installed version using npm list dompurify.
Upgrade to DOMpurify version 2.5.0 or later. If immediate upgrade isn't possible, implement temporary workarounds like careful input validation and WAF rules.
While active exploitation isn't confirmed, a public proof-of-concept exists, increasing the risk. Monitor your systems closely.
Refer to the DOMpurify GitHub repository for updates and information: https://github.com/cure53/DOMPurify
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.