Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Rollup (CVE-2024-47068)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/09/2024
Última modificación:
29/10/2024

Descripción

Rollup es un empaquetador de módulos para JavaScript. Las versiones anteriores a 3.29.5 y 4.22.4 son susceptibles a una vulnerabilidad de DOM Clobbering al agrupar scripts con propiedades de `import.meta` (por ejemplo, `import.meta.url`) en formato `cjs`/`umd`/`iife`. El gadget DOM Clobbering puede provocar cross-site scripting (XSS) en páginas web donde hay elementos HTML sin scripts controlados por atacantes (por ejemplo, una etiqueta `img` con un atributo `name` no saneado). Las versiones 3.29.5 y 4.22.4 contienen un parche para la vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:rollupjs:rollup:*:*:*:*:*:node.js:*:* 0.59.0 (incluyendo) 2.79.2 (excluyendo)
cpe:2.3:a:rollupjs:rollup:*:*:*:*:*:node.js:*:* 3.0.0 (incluyendo) 3.29.5 (excluyendo)
cpe:2.3:a:rollupjs:rollup:*:*:*:*:*:node.js:*:* 4.0.0 (incluyendo) 4.22.4 (excluyendo)