PT-2024-24595 · Deno · Deno

Nekzor

·

Publicado

2024-11-25

·

Atualizado

2024-11-25

·

CVE-2024-32468

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Deno anteriores à 1.41.1
Descrição
O problema diz respeito a várias vulnerabilidades de cross-site scripting no crate deno doc, levando a um Self-XSS ao usar deno doc --html. Especificamente, há duas vulnerabilidades:
  1. O arquivo search index.js gerado usa innerHTML em entradas HTML não sanitizadas, e
  2. o componente deno doc não sanitiza nomes de propriedades, nomes de métodos e nomes de enums.
A primeira vulnerabilidade provavelmente tem impacto mínimo, já que deno doc --html é normalmente usado localmente com pacotes pessoais.
Recomendações
Para versões do Deno anteriores à 1.41.1, atualize para uma versão posterior à 1.41.1 para mitigar o risco.
Como solução temporária, considere restringir o uso do comando deno doc --html até que um patch seja aplicado.
Evite usar o componente deno doc com entradas não sanitizadas até que o problema seja resolvido.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2024-32468
GHSA-QQWR-J9MM-FHW6

Produtos afetados

Deno