CVE-2024-25122

Versões do sidekiq-unique-jobs anteriores à 7.1.33 e à 8.0.7

O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) na interface de usuário web “admin” do sidekiq-unique-jobs. Parâmetros de solicitação GET especialmente criados, processados pelos seguintes endpoints, podem permitir que um invasor com privilégios de superusuário ou uma vítima autorizada, sem saber, execute código malicioso, potencialmente roubando cookies, dados de sessão ou dados de armazenamento local: “/changelogs”, “/locks” ou “/expiring locks”. Essa vulnerabilidade pode afetar milhares de sites, já que o sidekiq-unique-jobs é amplamente utilizado no setor.

Para resolver o problema, atualize para a versão 7.1.33 ou 8.0.7.

Como solução temporária, considere restringir o acesso aos endpoints vulneráveis “/changelogs”, “/locks” e “/expiring locks” até que um patch esteja disponível.

Além disso, configurar restrições de autorização na interface do usuário “admin” pode ajudar a minimizar o risco de exploração.