Vulnerabilidad en Astro-Shield (CVE-2024-29896)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

28/03/2024

Última modificación:

19/09/2025

Descripción

Astro-Shield es una librería para calcular los hashes de integridad de los subrecursos para sus scripts JS y hojas de estilo CSS. Cuando la generación automatizada de encabezados CSP para contenido SSR está habilitada y la aplicación web ofrece contenido que puede ser controlado parcialmente por usuarios externos, entonces es posible que la función de generación de encabezados CSP pueda "listar permitidos" recursos maliciosos inyectados como JS en línea o referencias a scripts maliciosos externos. La solución está disponible en la versión 1.3.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno