平台
nodejs
组件
webpack
修复版本
5.0.1
5.94.0
CVE-2024-43788是Webpack中发现的一个DOM Clobbering漏洞,存在于AutoPublicPathRuntimeModule模块中。该漏洞可能导致跨站脚本攻击(XSS),攻击者可以通过控制HTML元素(例如,具有未经过滤的name属性的img标签)来执行恶意脚本。该漏洞影响Webpack 5.94.0之前的版本。此漏洞已在Webpack 5.94.0中修复。
CVE-2024-43788 是 Webpack AutoPublicPathRuntimeModule 中的一个 DOM Clobbering 漏洞。该漏洞允许攻击者通过覆盖攻击者控制的 HTML 元素中的全局 DOM (Document Object Model) 属性,将恶意 JavaScript 代码注入到 Web 页面中。当 Webpack 生成使用全局 DOM 变量但未进行适当验证的代码时,此漏洞会发生。攻击者可以操纵 <img> 标签中的 name 属性等属性来覆盖这些变量,从而可能导致受害者浏览器中执行任意代码。主要影响是 Cross-Site Scripting (XSS) 攻击的可能性,从而危及用户安全和机密性。
该漏洞在 Canvas LMS 中被发现并证明,攻击者可以通过 HTML 元素属性(特别是 <img> 标签的 name 属性)注入 JavaScript 代码。当 Webpack 处理此代码时,会生成一个容易受到 DOM Clobbering 影响的模块。然后,攻击者可以操纵此模块来覆盖全局 DOM 变量,从而启用恶意代码的执行。此场景强调了在 Webpack 中使用的 Web 应用程序中验证和清理输入数据的必要性,尤其是在处理用户提供的数据时。由于 Webpack 处理自动公共路径和与 DOM 的交互方式,该漏洞被利用。
漏洞利用状态
EPSS
1.77% (83% 百分位)
CISA SSVC
CVE-2024-43788 的主要缓解措施是升级到 Webpack 5.94.0 或更高版本。此版本包含防止意外覆盖 DOM 属性的修复程序。此外,建议彻底审查 Webpack 生成的代码,以识别 DOM Clobbering 攻击的潜在入口点。实施对输入数据(尤其是来自不可信来源的数据)进行严格验证和清理至关重要。使用 Content Security Policy (CSP) 来限制 Web 页面上允许的脚本源可以帮助减轻成功的 XSS 攻击的影响。最后,保持 Webpack 依赖项的最新状态是基本的安全实践。
Actualice webpack a la versión 5.94.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) causada por un gadget DOM Clobbering en el AutoPublicPathRuntimeModule. La actualización evitará la ejecución de código malicioso inyectado a través de elementos HTML controlados por el atacante.
漏洞分析和关键警报直接发送到您的邮箱。
DOM Clobbering 是一种攻击技术,允许攻击者覆盖全局 DOM 变量,从而可能导致执行任意代码。
Webpack 的版本 5.94.0 包含防止 DOM Clobbering 漏洞的修复程序。
彻底审查 Webpack 生成的代码,并实施输入数据验证和清理措施。
配置 CSP 以限制 Web 页面上允许的脚本源。
是的,有一些静态和动态分析工具可以帮助检测 Webpack 代码中的 DOM Clobbering 漏洞。
CVSS 向量