Platform
nodejs
Component
flowise-embed
Opgelost in
2.1.1
2.0.0
CVE-2024-9148 is een kritieke Stored Cross-Site Scripting (XSS) kwetsbaarheid die is ontdekt in flowise-embed, een Node.js component. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts op te slaan en uit te voeren in de applicatie, wat kan leiden tot het compromitteren van gebruikersaccounts en gevoelige data. De kwetsbaarheid treft versies van flowise-embed lager dan 2.1.1, en een fix is beschikbaar in versie 2.0.0.
Een succesvolle exploitatie van CVE-2024-9148 kan ernstige gevolgen hebben. Een aanvaller kan kwaadaardige JavaScript-code injecteren via de Flowise Chat Embed functionaliteit. Deze code kan vervolgens worden uitgevoerd in de browser van andere gebruikers, waardoor de aanvaller toegang kan krijgen tot sessiecookies, gebruikersgegevens en andere gevoelige informatie. Dit kan leiden tot accountovername, data-exfiltratie en zelfs de mogelijkheid om de applicatie te misbruiken voor verdere aanvallen. De impact is vergelijkbaar met andere XSS-kwetsbaarheden, maar de 'stored' aard van de kwetsbaarheid maakt het potentieel voor grootschalige exploitatie aanzienlijk, aangezien de geïnjecteerde scripts persistent kunnen zijn.
Op dit moment zijn er geen bekende actieve campagnes die deze kwetsbaarheid misbruiken. Er zijn ook geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) op 2024-09-25. De EPSS score is nog niet bekend, maar gezien de kritieke CVSS score en de potentiële impact, is het belangrijk om deze kwetsbaarheid serieus te nemen.
Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.
• nodejs / supply-chain:
npm list flowise-embedIf the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.
disclosure
Exploit Status
EPSS
1.93% (83% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-9148 is het upgraden van flowise-embed naar versie 2.0.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om inputvalidatie en output encoding toe te passen op alle gebruikersinvoer die wordt gebruikt in de Flowise Chat Embed functionaliteit. Implementeer Content Security Policy (CSP) om de bronnen te beperken waaruit scripts kunnen worden geladen. Monitor de applicatie logs op verdachte patronen die wijzen op XSS-aanvallen, zoals onverwachte JavaScript-uitvoering of ongebruikelijke netwerkverzoeken.
Werk Flowise bij naar versie 2.1.1 of hoger. Deze versie bevat de correctie voor de opgeslagen XSS (Stored Cross-Site Scripting) kwetsbaarheid. Zorg ervoor dat u alle gebruikersinvoer valideert en sanitizeert om toekomstige aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-9148 is a critical XSS vulnerability in the flowise-embed Node.js package, affecting versions less than 2.1.1 and Flowise Chat Embed versions before 2.0.0, due to insufficient input sanitization.
You are affected if you are using flowise-embed versions less than 2.1.1 or Flowise Chat Embed versions before 2.0.0 in your Node.js project.
Upgrade to version 2.0.0 or later of Flowise Chat Embed and flowise-embed. Implement input validation and output encoding as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the flowise-embed project's repository and related security advisories for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.