Vulnerabilidad en Webpack (CVE-2024-43788)

Webpack es un paquete de módulos. Su objetivo principal es agrupar archivos JavaScript para su uso en un navegador, pero también es capaz de transformar, agrupar o empaquetar casi cualquier recurso o activo. Los desarrolladores del paquete web han descubierto una vulnerabilidad de DOM Clobbering en `AutoPublicPathRuntimeModule` de Webpack. El gadget DOM Clobbering en el módulo puede conducir a cross site scripting (XSS) en páginas web donde están presentes elementos HTML controlados por atacantes sin secuencias de comandos (por ejemplo, una etiqueta `img` con un atributo `name` no desinfectado). Se ha observado una explotación de este dispositivo en el mundo real en Canvas LMS, lo que permite que se produzca un ataque XSS a través de un código javascript compilado por Webpack (la parte vulnerable es de Webpack). DOM Clobbering es un tipo de ataque de reutilización de código en el que el atacante primero incrusta un fragmento de marcas HTML aparentemente benignas y sin script en la página web (por ejemplo, a través de una publicación o comentario) y aprovecha los gadgets (fragmentos de código js) que se encuentran en el código javascript existente para transformarlo en código ejecutable. Esta vulnerabilidad puede provocar cross site scripting (XSS) en sitios web que incluyen archivos generados por Webpack y permiten a los usuarios inyectar ciertas etiquetas HTML sin secuencias de comandos con nombres o atributos de identificación desinfectados incorrectamente. Este problema se solucionó en la versión 5.94.0. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para este problema.