Plataforma
nodejs
Componente
flowise-embed
Corrigido em
2.1.1
2.0.0
A vulnerabilidade CVE-2024-9148 é uma falha de Cross-Site Scripting (XSS) armazenada identificada no componente flowise-embed, especificamente em versões anteriores a 2.1.1 e no Flowise Chat Embed versão inferior a 2.0.0. Esta falha permite que atacantes injetem scripts maliciosos no sistema, potencialmente comprometendo a confidencialidade e integridade dos dados dos usuários. A atualização para a versão 2.0.0 resolve essa vulnerabilidade.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos no flowise-embed. Esses scripts podem ser executados no navegador de usuários que acessam a aplicação, permitindo ao atacante roubar cookies de sessão, redirecionar usuários para sites maliciosos, ou modificar o conteúdo da página web. O impacto pode ser significativo, levando à exfiltração de dados sensíveis e comprometimento da aplicação. A ausência de sanitização adequada das entradas é a causa raiz, permitindo a injeção direta de código JavaScript.
A vulnerabilidade foi divulgada em 2024-09-25. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.
• nodejs / supply-chain:
npm list flowise-embedIf the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.
disclosure
Status do Exploit
EPSS
1.93% (percentil 83%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-9148 é a atualização imediata para a versão 2.0.0 do flowise-embed e Flowise Chat Embed. Se a atualização imediata não for possível, implemente validação e sanitização rigorosas de todas as entradas do usuário antes de exibi-las na página web. Considere o uso de um Web Application Firewall (WAF) para bloquear tentativas de injeção de scripts. Monitore logs de acesso e erros em busca de padrões suspeitos de exploração.
Atualize Flowise para a versão 2.1.1 ou superior. Esta versão contém a correção para a vulnerabilidade XSS armazenada. Certifique-se de validar e sanitizar todas as entradas de usuário para prevenir futuros ataques.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-9148 is a critical XSS vulnerability in the flowise-embed Node.js package, affecting versions less than 2.1.1 and Flowise Chat Embed versions before 2.0.0, due to insufficient input sanitization.
You are affected if you are using flowise-embed versions less than 2.1.1 or Flowise Chat Embed versions before 2.0.0 in your Node.js project.
Upgrade to version 2.0.0 or later of Flowise Chat Embed and flowise-embed. Implement input validation and output encoding as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the flowise-embed project's repository and related security advisories for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.