Biblioteka DOMPurify, służąca do sanityzacji HTML, MathML i SVG, była podatna na atak typu prototype pollution (CWE-1321). Podatność o ocenie CVSS 9.1 może pozwolić atakującemu na zdalne manipulowanie obiektami JavaScript i obejście mechanizmów ochrony przed XSS.
▸ Pokaż oryginał (EN)
DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify was vulnerable to prototype pollution. This vulnerability is fixed in 2.4.2.
Prototype pollution polega na możliwości modyfikowania prototypu bazowego obiektu JavaScript (Object.prototype) przez nieautoryzowane dane wejściowe. W przypadku DOMPurify atakujący mógł dostarczyć spreparowany payload, który podczas procesu sanityzacji powodował zanieczyszczenie prototypu. Skutkowało to możliwością wpływania na zachowanie wszystkich obiektów w aplikacji korzystającej z biblioteki, co w efekcie mogło prowadzić do obejścia ochrony przed XSS.
Atakujący może zmodyfikować właściwości globalnych obiektów JavaScript w aplikacji, co prowadzi do naruszenia integralności i poufności danych — w tym potencjalnego wykonania złośliwych skryptów (XSS) w kontekście przeglądarki ofiary.
Należy zaktualizować DOMPurify do wersji 2.4.2 lub nowszej, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu na GitHub.
Biblioteka Cure53 DOMPurify w wersjach wcześniejszych niż 2.4.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NCure53 Dompurify
APPCure53< 2.4.2
Powiązane podatności
DOMPurify — podatność mXSS oparta na zagnieżdżaniu znaczników
DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. It has been discove...
DOMPurify is a DOM-only cross-site scripting sanitizer for HTML, MathML, and SVG. Versions prior to 3.4.0 have...
DOMPurify 3.1.3 through 3.2.6 and 2.5.3 through 2.5.8 contain a cross-site scripting vulnerability that allows...
DOMPurify 3.1.3 through 3.3.1 and 2.5.3 through 2.5.8, fixed in commit 2726c74, contain a cross-site scripting...