Vulnerabilidad en Sidekiq (CVE-2024-32887)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/04/2024
Última modificación:
15/04/2026
Descripción
Sidekiq es un procesamiento en segundo plano simple y eficiente para Ruby. Sidekiq refleja la vulnerabilidad XSS. El valor del parámetro substr se refleja en la respuesta sin ninguna codificación, lo que permite a un atacante inyectar código Javascript en la respuesta de la aplicación. Un atacante podría aprovecharlo para atacar a los usuarios de la interfaz de usuario web de Sidekiq. Además, si se implementan otras aplicaciones en el mismo dominio o sitio web que Sidekiq, los usuarios de esas aplicaciones también podrían verse afectados, lo que generaría un alcance más amplio de compromiso. Potencialmente comprometer sus cuentas, obligar a los usuarios a realizar acciones confidenciales, robar datos confidenciales, realizar ataques CORS, desfigurar la aplicación web, etc. Este problema se solucionó en la versión 7.2.4.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/sidekiq/sidekiq/commit/30786e082c70349ab27ffa9eccc42fb0c696164d
- https://github.com/sidekiq/sidekiq/releases/tag/v7.2.4
- https://github.com/sidekiq/sidekiq/security/advisories/GHSA-q655-3pj8-9fxq
- https://github.com/sidekiq/sidekiq/commit/30786e082c70349ab27ffa9eccc42fb0c696164d
- https://github.com/sidekiq/sidekiq/releases/tag/v7.2.4
- https://github.com/sidekiq/sidekiq/security/advisories/GHSA-q655-3pj8-9fxq