Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un hash de integridad en los fragmentos cargados dinámicamente en el navegador en webpack-subresource-integration (CVE-2020-15262)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
19/10/2020
Última modificación:
18/11/2021

Descripción

En webpack-subresource-integration versiones anteriores a 1.5.1, todos los fragmentos cargados dinámicamente reciben un hash de integridad no válido que es ignorado por el navegador y, por lo tanto, el navegador no puede comprobar su integridad. Esto elimina el nivel adicional de protección ofrecido por SRI para tales fragmentos. Los fragmentos de nivel superior no están afectados. Este problema está parcheado en la versión 1.5.1

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:webpack-subresource-integrity_project:webpack-subresource-integrity:*:*:*:*:*:node.js:*:* 1.5.1 (excluyendo)