CVE-2024-47880

Versões do OpenRefine anteriores à 3.8.3

A vulnerabilidade permite que um invasor direcione um usuário para uma página maliciosa que envia um formulário POST contendo código JavaScript incorporado. Esse código seria então incluído na resposta, juntamente com um cabeçalho Content-Type controlado pelo invasor, e potencialmente executado no navegador da vítima como se fosse parte do OpenRefine. O código fornecido pelo invasor pode realizar ações como excluir projetos, recuperar senhas de banco de dados ou executar expressões Jython ou Closure arbitrárias, caso essas extensões também estejam presentes. O invasor deve conhecer um ID válido de um projeto que contenha pelo menos uma linha.

Para versões anteriores à 3.8.3, atualize para a versão 3.8.3 para corrigir o problema. Como solução temporária, considere restringir o acesso ao comando export-rows ou desativar o recurso até que um patch esteja disponível. Além disso, restringir a substituição do cabeçalho Content-Type e exigir um token CSRF pode ajudar a mitigar o problema. Também é recomendável adicionar um cabeçalho Content-Security-Policy à resposta para desativar scripts e outros conteúdos potencialmente executáveis.