Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en dash-core-components (CVE-2024-21485)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
02/02/2024
Última modificación:
15/05/2025

Descripción

Versiones del paquete dash-core-components anteriores a 2.13.0; todas las versiones del paquete dash-core-components; versiones del paquete anteriores a 2.15.0; todas las versiones del paquete dash-html-components; Las versiones del paquete dash-html-components anteriores a la 2.0.16 son vulnerables a Cross-site Scripting (XSS) cuando el href de la etiqueta a está controlado por un adversario. Un atacante autenticado que almacene una vista que aproveche esta vulnerabilidad podría robar los datos visibles para otro usuario que abra esa vista, no solo los datos ya incluidos en la página, sino que también podría, en teoría, realizar solicitudes adicionales y acceder a otros datos accesibles para este usuario. En algunos casos, también podrían robar los tokens de acceso de ese usuario, lo que permitiría al atacante actuar como ese usuario, incluida la visualización de otras aplicaciones y recursos alojados en el mismo servidor. **Nota:** Esto solo se puede explotar en aplicaciones Dash que incluyen algún mecanismo para almacenar la entrada del usuario para que un usuario diferente la recargue.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:plotly:dash:*:*:*:*:*:*:*:* 2.13.0 (excluyendo)
cpe:2.3:a:plotly:dash:*:*:*:*:*:*:*:* 2.14.0 (incluyendo) 2.15.0 (excluyendo)