PT-2024-23298 · Unknown · Astro-Shield
Castarco
·
Publicado
2024-04-01
·
Atualizado
2024-04-04
·
CVE-2024-30250
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 1.2.0 a 1.3.1 do Astro-Shield
Descrição
O Astro-Shield é uma integração para aprimorar a segurança de sites com hashes de integridade de sub-recursos, cabeçalhos de Política de Segurança de Conteúdo (Content-Security-Policy) e outras técnicas. A vulnerabilidade permite contornar as listas de permissão para recursos de origem cruzada ao introduzir atributos
integrity válidos no código injetado, o que levaria o navegador a acreditar que o recurso injetado é legítimo. Para explorar isso, um invasor precisa primeiro injetar código nas páginas renderizadas, explorando outras vulnerabilidades potenciais.Recomendações
Para as versões 1.2.0 a 1.3.1 do Astro-Shield, atualize para a versão 1.3.2 para corrigir a vulnerabilidade.
Como solução temporária, considere não usar a funcionalidade de middleware do Astro-Shield ou use-a apenas para conteúdo que não possa ser controlado de forma alguma por usuários externos.
Exploit
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astro-Shield