Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en recursos de tematización en el proceso de compilación en el paquete less-openui5 en el contexto del desarrollo de OpenUI5 y SAPUI5 (CVE-2021-21316)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
16/02/2021
Última modificación:
26/02/2021

Descripción

less-openui5 es un paquete npm que permite construir temas de OpenUI5 con Less.js. En less-openui5 versiones anteriores a 0.10., cuando se procesan recursos de tematización (es decir, archivos "*.less") con less-openui5 que se originan desde una fuente no confiable, esos recursos podrían contener código JavaScript que se ejecutará en el contexto del proceso de compilación. Aunque esta es una funcionalidad de la biblioteca Less.js, es un comportamiento inesperado en el contexto del desarrollo de OpenUI5 y SAPUI5. Especialmente en el contexto de UI5 Tooling que depende de less-openui5. Un atacante podría crear una biblioteca o biblioteca de tema que contenga un control o tema personalizado, ocultando código JavaScript malicioso en uno de los archivos .less. Consulte la referencia GHSA-3crj-w4f5-gwh4 para visualizar ejemplos. A partir de Less.js versión 3.0.0, la función Inline JavaScript está deshabilitada por defecto. Sin embargo, less-openui5 usa actualmente un derivación de Less.js versión v1.6.3. Note que al deshabilitar la funcionalidad Inline JavaScript en las versiones 1.x de Less.js, se sigue evaluando el código con códigos dobles adicionales a su alrededor. Hemos decidido eliminar completamente la funcionalidad de evaluación de JavaScript en línea del código de nuestra derivación de Less.js. Esta corrección está disponible en less-openui5 versión 0.10.0

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:less-openui5_project:less-openui5:*:*:*:*:*:node.js:*:* 0.10.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información