PT-2024-28053 · Unknown+1 · Polyfill.Io+1

Adhintz

·

Publicado

2024-06-25

·

Atualizado

2025-06-22

·

CVE-2024-38526

CVSS v3.1

7.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L
Nome do software vulnerável e versões afetadas
Versões do pdoc anteriores à 14.5.1
Descrição
O problema decorre do fato de a documentação gerada com pdoc --math estar vinculada a arquivos JavaScript do polyfill.io. O CDN do polyfill.io foi vendido e agora hospeda código malicioso, levando a um ataque à cadeia de suprimentos. Isso permite a execução de código malicioso. Os usuários que produzem documentação com o modo matemático são afetados.
Recomendações
Para versões anteriores à 14.5.1, atualize para a versão 14.5.1 para resolver o problema. Como solução temporária, considere evitar o uso da opção --math ao gerar documentação com o pdoc até que a atualização seja aplicada.

Exploit

Correção

Improper Resource Release

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-1395

Identificadores relacionados

BDU:2025-09247
CVE-2024-38526
GHSA-5VGJ-GGM4-FG62
OPENSUSE-SU-2024:14187-1
SUSE-SU-2025:02037-1

Produtos afetados

Pdoc
Polyfill.Io