CVE-2024-45389

Nome do software vulnerável e versões afetadas:

Versões do Pagefind anteriores à 1.1.1

Descrição:

Existe uma vulnerabilidade de tipo DOM Clobbering no Pagefind, permitindo que um invasor injete código HTML malicioso e escale privilégios. Isso ocorre quando um invasor consegue adicionar elementos a uma página, como tags img com um atributo name, mas não outros, já que adicionar um script seria um vetor de XSS. A vulnerabilidade depende da pesquisa document.currentScript.src ser ofuscada por um elemento HTML controlado pelo invasor, fazendo com que o Pagefind carregue dependências de um domínio externo. Não há relatos de que isso tenha sido explorado na prática por meio do Pagefind.

Recomendações:

Para versões do Pagefind anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de injetar elementos HTML com atributos name em páginas que utilizam o Pagefind.