PT-2024-35445 · Deno · Deno Standard Library
Lionel-Rowe
·
Publicado
2024-11-22
·
Atualizado
2024-11-22
·
CVE-2024-52793
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Versões da Biblioteca Padrão do Deno anteriores à 1.0.11
Descrição
A vulnerabilidade afeta a Biblioteca Padrão do Deno, especificamente a função
serveDir do módulo http/file-server quando utilizada com a opção showDirListing: true. Essa configuração é vulnerável a ataques de cross-site scripting quando um invasor consegue controlar os nomes de arquivos no diretório de origem, particularmente em sistemas que utilizam nomes de arquivos POSIX. Embora a exploração possa ser possível em outros sistemas, ela é menos direta devido a diferenças no suporte a nomes de arquivos, como a falta de suporte para <> em nomes de arquivos do Windows.Recomendações
Para versões da Biblioteca Padrão do Deno anteriores à 1.0.11, atualize para a versão 1.0.11 para resolver o problema. Como solução alternativa temporária, considere definir
showDirListing como false na função serveDir para minimizar o risco de exploração. Restrinja o acesso ao módulo http/file-server, especialmente para usuários que possam controlar nomes de arquivos no diretório de origem, até que a atualização seja aplicada.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Deno Standard Library