ГлавнаяБаза уязвимостей БДУ → BDU:2024-08024
9.7критическая

BDU:2024-08024

Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify, связанная с недостатками проверки входных данных, содержащих признаки XSS-атаки, позволяющая нарушителю осуществить межсайтовую сценарную атаку
Опубликовано: 2024-12-11
Описание

Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify связана с недостатками проверки входных данных, содержащих признаки XSS-атаки. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку

Затрагиваемое ПО и версии
РЕД ОС (7.3)DOMPurify (до 2.5.0)DOMPurify (до 3.1.3)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование систем обнаружения вторжений для противодействия XSS-атакам;
- использование средств межсетевого экранирования уровня веб-приложений;
- использование проверки входных данных по «белым спискам».

Использование рекомендаций:
https://github.com/cure53/DOMPurify
https://github.com/cure53/DOMPurify/security/advisories/GHSA-gx9m-whjm-85jf

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.7 — критическая опасность
Источники и патчи
https://github.com/cure53/DOMPurifyhttps://github.com/cure53/DOMPurify/security/advisories/GHSA-gx9m-whjm-85jfhttps://github.com/cure53/DOMPurify/blob/0ef5e537a514f904b6aa1d7ad9e749e365d7185f/test/test-suite.js#L2098http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена