PT-2024-32385 · Rollup+1 · Rollup+1
Ishmeals
+2
·
Publicado
2024-09-23
·
Atualizado
2025-11-01
·
CVE-2024-47068
CVSS v4.0
8.3
Alta
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Rollup anteriores à 2.79.2, 3.29.5 e 4.22.4
Descrição
O problema está relacionado a uma vulnerabilidade de DOM Clobbering no Rollup ao agrupar scripts com propriedades de
import.meta (por exemplo, import.meta.url) no formato cjs/umd/iife. Essa vulnerabilidade pode levar a cross-site scripting (XSS) em páginas da web onde estejam presentes elementos HTML controlados pelo invasor e sem scripts (por exemplo, uma tag img com um atributo name não sanitizado). O gadget de DOM Clobbering pode ser explorado por um invasor para carregar scripts de um servidor controlado por ele.Recomendações
Para versões anteriores à 2.79.2, atualize para a versão 2.79.2 ou posterior.
Para versões anteriores à 3.29.5, atualize para a versão 3.29.5 ou posterior.
Para versões anteriores à 4.22.4, atualize para a versão 4.22.4 ou posterior.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Rollup