Castarco

#15552de 53,630
17.4CVSS total
Vulnerabilidades · 2
Alta
2
PT-2024-23298
8.7
2024-04-01
Unknown · Astro-Shield · CVE-2024-30250
**Nome do software vulnerável e versões afetadas** Versões 1.2.0 a 1.3.1 do Astro-Shield **Descrição** O Astro-Shield é uma integração para aprimorar a segurança de sites com hashes de integridade de sub-recursos, cabeçalhos de Política de Segurança de Conteúdo (Content-Security-Policy) e outras técnicas. A vulnerabilidade permite contornar as listas de permissão para recursos de origem cruzada ao introduzir atributos `integrity` válidos no código injetado, o que levaria o navegador a acreditar que o recurso injetado é legítimo. Para explorar isso, um invasor precisa primeiro injetar código nas páginas renderizadas, explorando outras vulnerabilidades potenciais. **Recomendações** Para as versões 1.2.0 a 1.3.1 do Astro-Shield, atualize para a versão 1.3.2 para corrigir a vulnerabilidade. Como solução temporária, considere não usar a funcionalidade de middleware do Astro-Shield ou use-a apenas para conteúdo que não possa ser controlado de forma alguma por usuários externos.
PT-2024-23117
8.7
2024-03-28
Unknown · Astro-Shield · CVE-2024-29896
**Nome do software vulnerável e versões afetadas** Versões do Astro-Shield anteriores à 1.3.0 **Descrição** O Astro-Shield é uma biblioteca usada para calcular hashes de integridade de sub-recursos para scripts JavaScript e folhas de estilo CSS. Quando a geração automatizada de cabeçalhos da Política de Segurança de Conteúdo (CSP) para conteúdo de Renderização do Lado do Servidor (SSR) está habilitada e o aplicativo web serve conteúdo que pode ser parcialmente controlado por usuários externos, existe a possibilidade de que o recurso de geração de cabeçalhos CSP permita a injeção de recursos maliciosos, como JavaScript embutido ou referências a scripts maliciosos externos. **Recomendações** Para versões anteriores à 1.3.0, atualize para a versão 1.3.0 para resolver o problema. Como solução temporária, considere desativar o recurso de geração automática de cabeçalhos CSP até que um patch esteja disponível. Como alternativa, use o recurso de geração de cabeçalhos CSP apenas para conteúdo gerado dinamicamente que não possa ser controlado por usuários externos de forma alguma.