Plataforma
nodejs
Componente
tenderdoctransfer
Corrigido em
0.41.157
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no TenderDocTransfer, um software da Chunghwa Telecom. Esta falha permite que atacantes executem código JavaScript malicioso no navegador de um usuário, potencialmente comprometendo a segurança dos dados e do sistema. A vulnerabilidade afeta as versões 0.41.151 a 0.41.156 e foi corrigida na versão 0.41.157.
A vulnerabilidade XSS no TenderDocTransfer permite que atacantes injetem scripts maliciosos em páginas web visualizadas por usuários legítimos. Um atacante pode explorar essa falha através de ataques de phishing, induzindo usuários a clicar em links especialmente criados que contêm o código malicioso. O sucesso do ataque pode resultar no roubo de informações confidenciais, como credenciais de login, ou na execução de ações em nome do usuário afetado. A capacidade de executar comandos no sistema, devido ao suporte a Node.js, amplia significativamente o impacto, permitindo que atacantes obtenham controle sobre o servidor subjacente e acessem dados sensíveis armazenados nele.
A vulnerabilidade foi divulgada em 16 de dezembro de 2024. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A natureza crítica da vulnerabilidade (CVSS 9.6) e a possibilidade de execução de comandos no sistema indicam um risco significativo, especialmente em ambientes de produção.
Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.
• nodejs / server:
grep -r 'TenderDocTransfer' /var/log/nodejs/• generic web:
curl -I <target_url> | grep -i 'X-XSS-Protection'• generic web:
curl -I <target_url> | grep -i 'Content-Security-Policy'disclosure
Status do Exploit
EPSS
31.44% (percentil 97%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-12641 é a atualização imediata para a versão 0.41.157 do TenderDocTransfer. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as entradas de usuário e a aplicação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts inline. Monitore logs de acesso e erro em busca de atividades suspeitas, como tentativas de injeção de código. Implementar um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas antes que atinjam a aplicação.
Atualizar TenderDocTransfer para uma versão corrigida que implemente proteção CSRF para as APIs. Como medida temporária, evitar abrir links ou documentos suspeitos que possam explorar a vulnerabilidade XSS refletida. Contactar o fornecedor (Chunghwa Telecom) para obter a versão atualizada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12641 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in Chunghwa Telecom's TenderDocTransfer, allowing attackers to execute JavaScript code in a user's browser.
You are affected if you are using TenderDocTransfer versions 0.41.151 through 0.41.156. Upgrade to 0.41.157 to mitigate the risk.
Upgrade TenderDocTransfer to version 0.41.157 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the vulnerability's critical severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the Chunghwa Telecom security advisory for detailed information and updates regarding CVE-2024-12641.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.