CVE-2024-43788

Versões do Webpack anteriores à 5.94.0

Foi descoberta uma vulnerabilidade de tipo DOM Clobbering no módulo AutoPublicPathRuntimeModule do Webpack. Essa vulnerabilidade pode levar a um ataque de script entre sites (XSS) em páginas da web onde estejam presentes elementos HTML controlados pelo invasor, mas sem código de script. O gadget de DOM Clobbering no módulo pode ser explorado por um invasor que incorpore uma marcação HTML sem script, aparentemente inofensiva, na página da web e utilize os gadgets presentes no código JavaScript existente para transformá-la em código executável. A exploração real desse gadget foi observada no Canvas LMS, o que permite que um ataque XSS ocorra por meio de um código JavaScript compilado pelo Webpack. Esse problema pode levar a cross-site scripting (XSS) em sites que incluem arquivos gerados pelo Webpack e permitem que usuários injetem certas tags HTML sem script com atributos de nome ou id sanitizados de forma inadequada.

Para resolver o problema, atualize para a versão 5.94.0 ou posterior do Webpack. Como solução temporária, considere restringir o acesso ao AutoPublicPathRuntimeModule até que um patch esteja disponível. Além disso, certifique-se de que todas as tags HTML inseridas pelo usuário sejam devidamente sanitizadas para evitar ataques XSS. Evite usar o atributo name nos endpoints da API afetados até que o problema seja resolvido.