Vulnerabilidad en Pagefind (CVE-2024-45389)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

03/09/2024

Última modificación:

12/09/2024

Descripción

Pagefind, una librería de búsqueda completamente estática, inicializa sus archivos dinámicos de JavaScript y WebAssembly en relación con la ubicación del primer script que carga el usuario. Esta información se obtiene buscando el valor de `document.currentScript.src`. Antes de la versión 1.1.1 de Pagefind, era posible "bloquear" esta búsqueda con HTML benigno en la página. Esto hará que `document.currentScript.src` se resuelva como un dominio externo, que luego será utilizado por Pagefind para cargar dependencias. Esta vulnerabilidad solo funcionaría en el caso de que un atacante pudiera inyectar HTML en un sitio web alojado y en vivo. En estos casos, esto actuaría como una forma de escalar el privilegio disponible para un atacante. Esto supone que tienen la capacidad de agregar algunos elementos a la página (por ejemplo, etiquetas `img` con un atributo `name`), pero no otros, ya que agregar un `script` a la página sería en sí mismo el vector de cross-site scripting. Pagefind ha mejorado esta resolución en la versión 1.1.1 al garantizar que la fuente se cargue desde un elemento de script válido. No hay informes de que esto se haya explotado en la práctica a través de Pagefind.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno