CVE-2024-45812

Nome do software vulnerável e versões afetadas:

Versões do Vite anteriores à 3.2.11

Versões do Vite anteriores à 4.5.5

Versões do Vite anteriores à 5.2.14

Versões do Vite anteriores à 5.3.6

Versões do Vite anteriores à 5.4.6

Descrição:

Foi descoberta uma vulnerabilidade de tipo DOM Clobbering no Vite ao compilar scripts para os formatos de saída cjs/iife/umd. Essa vulnerabilidade pode levar a ataques de cross-site scripting (XSS) em sites que incluem arquivos empacotados pelo Vite e permitem que usuários injetem determinadas tags HTML sem script, sem sanitizar adequadamente os atributos name ou id. A vulnerabilidade ocorre quando um invasor incorpora um trecho de marcação HTML sem script, aparentemente inofensivo, na página da web e aproveita os gadgets (trechos de código JavaScript) presentes no código JavaScript existente para transformá-lo em código executável. A consulta a document.currentScript pode ser ofuscada por um invasor por meio do mecanismo de acesso a elementos nomeados da árvore DOM do navegador, permitindo que o invasor substitua o elemento de script pretendido por um elemento HTML malicioso. Isso pode resultar no carregamento dinâmico de scripts de um servidor controlado pelo invasor.

Recomendações:

Para versões anteriores à 3.2.11, atualize para a versão 3.2.11 ou posterior.

Para versões anteriores à 4.5.5, atualize para a versão 4.5.5 ou posterior.

Para versões anteriores à 5.2.14, atualize para a versão 5.2.14 ou posterior.

Para versões anteriores à 5.3.6, atualize para a versão 5.3.6 ou posterior.

Para versões anteriores à 5.4.6, atualize para a versão 5.4.6 ou posterior.