Vulnerabilidad en Phlex (CVE-2024-32463)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
17/04/2024
Última modificación:
17/04/2024
Descripción
Phlex es un framework de código abierto para crear vistas orientadas a objetos en Ruby. Existe una posible vulnerabilidad de cross-site scripting (XSS) que puede explotarse mediante datos de usuario creados con fines malintencionados. El filtro para detectar y evitar el uso del esquema de URL `javascript:` en el atributo `href` de una etiqueta `` podría omitirse con tabulaciones `\t` o caracteres de nueva línea `\n` entre los caracteres de el protocolo, por ejemplo `java\tscript:`. Esta vulnerabilidad se solucionó en 1.10.1, 1.9.2, 1.8.3, 1.7.2, 1.6.3, 1.5.3 y 1.4.2. Configurar una política de seguridad de contenido que no permita "inseguro en línea" evitaría efectivamente que se aproveche esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy#unsafe-inline
- https://github.com/phlex-ruby/phlex/commit/9e3f5b980655817993682e409cbda72956d865cb
- https://github.com/phlex-ruby/phlex/security/advisories/GHSA-g7xq-xv8c-h98c