PT-2020-21221 · Helmet · Helmet-Csp
Publicado
2020-09-03
·
Atualizado
2020-09-03
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do helmet-csp anteriores à 2.9.1
Descrição
A falha afeta a Política de Segurança de Conteúdo (CSP) do aplicativo, permitindo que um invasor remova a CSP padrão, o que pode tornar o aplicativo vulnerável a ataques de Cross-Site Scripting. Isso ocorre porque o mecanismo de detecção de navegador do pacote para o Firefox exclui a política CSP
default-src.Recomendações
Atualize para a versão 2.9.1 ou posterior.
Como solução alternativa temporária para versões anteriores à 2.9.1, defina a configuração
browserSniff como false.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Helmet-Csp