Vulnerabilidad en Mermaid (CVE-2022-31108)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/06/2022
Última modificación:
21/07/2023
Descripción
Mermaid es una herramienta de diagramación y gráficos basada en JavaScript que usa definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. Un atacante es capaz de inyectar "CSS" arbitrario en el gráfico generado permitiéndole cambiar el estilo de los elementos fuera del gráfico generado, y potencialmente exfiltrar información confidencial usando selectores "CSS" especialmente diseñados. El siguiente ejemplo muestra cómo un atacante puede filtrar el contenido de un campo de entrada forzando el atributo "value" un carácter a la vez. Siempre que haya una coincidencia real, el navegador hará una petición "http" para "cargar" una imagen de fondo que permitirá al atacante saber cuál es el valor del carácter. Este problema puede conllevar a una "Divulgación de información" por medio de selectores CSS y funciones capaces de generar peticiones HTTP. Esto también permite a un atacante cambiar el documento de manera que puede llevar a un usuario a llevar a cabo acciones no deseadas, como hacer clic en un enlace, etc. Este problema ha sido resuelto en versión 9.1.3. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizarse deben asegurarse de que las entradas del usuario sean escapadas apropiadamente antes de insertarlas en bloques CSS
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mermaid_project:mermaid:*:*:*:*:*:node.js:*:* | 8.0.0 (incluyendo) | 9.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página