Plataforma
nodejs
Componente
webpack
Corrigido em
5.0.1
5.94.0
CVE-2024-43788 é uma vulnerabilidade de Cross-Site Scripting (XSS) presente no AutoPublicPathRuntimeModule do webpack. Essa falha de segurança permite que um atacante execute scripts maliciosos em páginas web através de elementos HTML controlados pelo atacante, explorando o DOM Clobbering. A vulnerabilidade afeta versões do webpack anteriores à 5.94.0 e foi corrigida na versão 5.94.0.
CVE-2024-43788 é uma vulnerabilidade de 'DOM Clobbering' descoberta no módulo AutoPublicPathRuntimeModule do Webpack. Essa vulnerabilidade permite que um atacante injete código JavaScript malicioso em uma página web, explorando a capacidade de sobrescrever propriedades globais do DOM (Document Object Model) através de elementos HTML controlados pelo atacante. A vulnerabilidade se manifesta quando o Webpack gera código que utiliza variáveis globais do DOM sem uma validação adequada. Um atacante pode manipular atributos como name em tags <img> para sobrescrever essas variáveis, o que pode levar à execução de código arbitrário no navegador da vítima. O impacto principal é a possibilidade de ataques de Cross-Site Scripting (XSS), comprometendo a segurança e a confidencialidade dos usuários.
A vulnerabilidade foi descoberta e demonstrada no Canvas LMS, onde um atacante pode injetar código JavaScript através de atributos de elementos HTML, especificamente o atributo name de uma tag <img>. O Webpack, ao processar este código, gera um módulo que é suscetível ao DOM Clobbering. O atacante pode então manipular este módulo para sobrescrever variáveis globais do DOM, permitindo a execução de código malicioso. Este cenário destaca a importância de validar e sanitizar os dados de entrada em aplicações web que utilizam Webpack, especialmente quando se lidam com dados fornecidos pelo usuário. A vulnerabilidade é aproveitada devido à forma como o Webpack gerencia os caminhos públicos automáticos e a interação com o DOM.
Status do Exploit
EPSS
1.77% (percentil 83%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2024-43788 é atualizar para a versão 5.94.0 do Webpack ou superior. Essa versão inclui uma correção que evita a sobrescrita indesejada de propriedades do DOM. Além disso, recomenda-se realizar uma revisão exaustiva do código gerado pelo Webpack para identificar possíveis pontos de entrada para ataques de DOM Clobbering. Implementar uma validação e sanitização rigorosa dos dados de entrada, especialmente aqueles provenientes de fontes não confiáveis, é crucial. Considerar o uso de Content Security Policy (CSP) para restringir as fontes de scripts permitidas na página web pode ajudar a mitigar o impacto de um ataque XSS bem-sucedido. Finalmente, manter as dependências do Webpack atualizadas é uma prática de segurança fundamental.
Actualice webpack a la versión 5.94.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) causada por un gadget DOM Clobbering en el AutoPublicPathRuntimeModule. La actualización evitará la ejecución de código malicioso inyectado a través de elementos HTML controlados por el atacante.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
DOM Clobbering é uma técnica de ataque que permite a um atacante sobrescrever variáveis globais do DOM, o que pode levar à execução de código arbitrário.
A versão 5.94.0 do Webpack inclui uma correção que previne a vulnerabilidade de DOM Clobbering.
Realizar uma revisão exaustiva do código gerado pelo Webpack e aplicar medidas de validação e sanitização de dados de entrada.
Configurar o CSP para restringir as fontes de scripts permitidas na página web.
Sim, existem ferramentas de análise estática e dinâmica que podem ajudar a detectar vulnerabilidades de DOM Clobbering no código do Webpack.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.