Vulnerabilidad en AngularJS (CVE-2024-8372)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/09/2024
Última modificación:
28/04/2025
Descripción
La desinfección incorrecta del valor del atributo '[srcset]' en AngularJS permite a los atacantes eludir las restricciones comunes de origen de imágenes, lo que también puede provocar una forma de suplantación de contenido https://owasp.org/www-community/attacks/Content_Spoofing . Este problema afecta a las versiones 1.3.0-rc.4 y posteriores de AngularJS. Nota: El proyecto AngularJS ha llegado al final de su vida útil y no recibirá ninguna actualización para solucionar este problema. Para obtener más información, consulte aquí https://docs.angularjs.org/misc/version-support-status .
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:angularjs:angular.js:*:*:*:*:*:*:*:* | 1.3.1 (incluyendo) | 1.8.3 (incluyendo) |
| cpe:2.3:a:angularjs:angular.js:1.3.0:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:angularjs:angular.js:1.3.0:rc5:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vsphere:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página