Vulnerabilidad en Stirling-PDF (CVE-2024-52286)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
11/11/2024
Última modificación:
09/01/2025
Descripción
Stirling-PDF es una aplicación web alojada localmente que permite realizar varias operaciones en archivos PDF. En las versiones afectadas, la función Merge toma la entrada de usuario no confiable (nombre de archivo) y la usa directamente en la creación de páginas HTML, lo que permite que cualquier usuario no autenticado ejecute código JavaScript en el contexto del usuario. El problema se origina en el código que comienza en la `Línea 24` en `src/main/resources/static/js/merge.js`. El nombre del archivo se ingresa directamente en InnerHTML sin sanitizar el nombre del archivo, lo que permite que un usuario malintencionado pueda cargar archivos con nombres que contengan etiquetas HTML. Como las etiquetas HTML pueden incluir código JavaScript, esto se puede usar para ejecutar código JavaScript en el contexto del usuario. Este es un ataque de estilo de autoinyección y se basa en que un usuario cargue el archivo malicioso por sí mismo y solo lo afecta a él, no a otros usuarios. Se puede inducir a un usuario a ejecutar esto para lanzar un ataque de phishing. Sin embargo, esto rompe las restricciones de seguridad esperadas establecidas por la aplicación. Este problema se ha solucionado en la versión 0.32.0 y se recomienda a todos los usuarios que actualicen la versión. No existen workarounds conocidas para esta vulnerabilidad.
Impacto
Puntuación base 4.0
2.00
Gravedad 4.0
BAJA