CVE-2024-45803

Nome do software vulnerável e versões afetadas:

Versões do Wire UI anteriores à 1.19.3

Versões do Wire UI anteriores à 2.1.3

Descrição:

Foi identificada uma vulnerabilidade potencial de Cross-Site Scripting (XSS) no endpoint “/wireui/button”, especificamente por meio do parâmetro de consulta label. Agentes mal-intencionados poderiam explorar essa vulnerabilidade injetando JavaScript no parâmetro label, levando à execução de código arbitrário no navegador da vítima. O endpoint “/wireui/button” renderiza dinamicamente rótulos de botões com base na entrada fornecida pelo usuário por meio do parâmetro de consulta label. Devido à sanitização ou escape insuficientes dessa entrada, um invasor pode injetar JavaScript malicioso. Se explorada, essa vulnerabilidade poderia permitir que um invasor executasse código JavaScript arbitrário no contexto do site afetado, levando ao sequestro de sessão, falsificação de identidade do usuário, phishing ou manipulação de conteúdo.

Recomendações:

Para versões anteriores à 1.19.3, atualize para a versão 1.19.3 ou posterior.

Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior.

Como solução temporária, considere restringir o acesso ao endpoint “/wireui/button” até que um patch esteja disponível.

Evite usar o parâmetro label no endpoint da API afetado até que o problema seja resolvido.