Vulnerabilidad en un hash de integridad en los fragmentos cargados dinámicamente en el navegador en webpack-subresource-integration (CVE-2020-15262)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
19/10/2020
Última modificación:
18/11/2021
Descripción
En webpack-subresource-integration versiones anteriores a 1.5.1, todos los fragmentos cargados dinámicamente reciben un hash de integridad no válido que es ignorado por el navegador y, por lo tanto, el navegador no puede comprobar su integridad. Esto elimina el nivel adicional de protección ofrecido por SRI para tales fragmentos. Los fragmentos de nivel superior no están afectados. Este problema está parcheado en la versión 1.5.1
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:webpack-subresource-integrity_project:webpack-subresource-integrity:*:*:*:*:*:node.js:*:* | 1.5.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página