Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en dependencytrack/frontend (CVE-2022-39350)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/10/2022
Última modificación:
07/11/2023

Descripción

dependencytrack/frontend es una aplicación de página única (SPA) usada en Dependency-Track, una plataforma de análisis de componentes de código abierto que permite a las organizaciones identificar y reducir el riesgo en la cadena de suministro de software. Debido a la práctica común de proporcionar detalles de vulnerabilidad en formato markdown, el frontend de Dependency-Track los renderiza usando la biblioteca JavaScript Showdown. Showdown no presenta ninguna contramedida de tipo XSS incorporada, y Las versiones anteriores a 4.6.1 del frontend Dependency-Track no codificaban ni saneaban la salida de Showdown. Esto hacía posible que el JavaScript arbitrario incluido en los detalles de la vulnerabilidad por medio de atributos HTML es ejecutadora en el contexto del frontend. Los actores con el permiso "VULNERABILITY_MANAGEMENT" pueden explotar esta debilidad al crear o editar una vulnerabilidad personalizada y proporcionando cargas útiles de tipo XSS en cualquiera de los siguientes campos: Description, Details, Recommendation, o References. La carga útil es ejecutada para usuarios con el permiso "VIEW_PORTFOLIO" cuando naveguen a la página de la vulnerabilidad modificada. Alternativamente, el JavaScript malicioso podría ser introducido por medio de cualquiera de las bases de datos de vulnerabilidades reflejadas por Dependency-Track. Sin embargo, este vector de ataque es altamente improbable, y los mantenedores de Dependency-Track no presentan conocimiento de que esto ocurra. Tenga en cuenta que el elemento "Detalles de la vulnerabilidad" de la pestaña "Auditoría de vulnerabilidades" en la vista del proyecto no está afectado. El problema ha sido corregido en versión 4.6.1 del frontend

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:owasp:dependency-track_frontend:*:*:*:*:*:*:*:* 4.6.1 (excluyendo)