Pagefind · Pagefind · CVE-2024-45389
Nome do software vulnerável e versões afetadas:
Versões do Pagefind anteriores à 1.1.1
Descrição:
Existe uma vulnerabilidade de tipo DOM Clobbering no Pagefind, permitindo que um invasor injete código HTML malicioso e escale privilégios. Isso ocorre quando um invasor consegue adicionar elementos a uma página, como tags `img` com um atributo `name`, mas não outros, já que adicionar um `script` seria um vetor de XSS. A vulnerabilidade depende da pesquisa `document.currentScript.src` ser ofuscada por um elemento HTML controlado pelo invasor, fazendo com que o Pagefind carregue dependências de um domínio externo. Não há relatos de que isso tenha sido explorado na prática por meio do Pagefind.
Recomendações:
Para versões do Pagefind anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de injetar elementos HTML com atributos `name` em páginas que utilizam o Pagefind.