CVE-2024-32887

Nome do software vulnerável e versões afetadas:

Versões do Sidekiq anteriores à 7.2.4

Descrição:

O problema está relacionado a uma vulnerabilidade de XSS refletido no Sidekiq, na qual o valor do parâmetro substr é refletido na resposta sem qualquer codificação, permitindo que um invasor injete código JavaScript na resposta da aplicação. Isso poderia comprometer contas de usuários, forçar usuários a realizar ações confidenciais, roubar dados confidenciais, realizar ataques CORS ou vandalizar a aplicação web. Se outras aplicações estiverem implantadas no mesmo domínio ou site que o Sidekiq, os usuários dessas aplicações também poderiam ser afetados, levando a um escopo mais amplo de comprometimento.

Recomendações:

Para resolver o problema, atualize para a versão 7.2.4 ou posterior. Como solução temporária, considere codificar todos os dados de saída antes de renderizá-los na resposta para evitar ataques XSS. Restrinja o acesso à interface de usuário web do Sidekiq para minimizar o risco de exploração. Evite usar o parâmetro substr no endpoint da API afetado até que o problema seja resolvido.