Vulnerabilidad en la estructura de opciones de gráficos en el navegador del usuario en Highcharts JS (CVE-2021-29489)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/05/2021
Última modificación:
04/06/2022
Descripción
Highcharts JS es una biblioteca de gráficos de JavaScript basada en SVG. En Highcharts versiones 8 y anteriores, la estructura de opciones de gráficos no se filtraba sistemáticamente para vectores de tipo XSS. El impacto potencial fue que el contenido de fuentes no confiables podría ejecutar código en el navegador del usuario final. La vulnerabilidad está parcheada en versión 9. Como solución alternativa, los implementadores que no son capaces de actualizar pueden aplicar DOMPurify de forma recursiva a la estructura de opciones para filtrar el marcado malicioso
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:highcharts:highcharts:*:*:*:*:*:*:*:* | 9.0.0 (excluyendo) | |
| cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página