ГлавнаяБаза уязвимостей БДУ → BDU:2024-08257
7.5высокая

BDU:2024-08257 (CVE-2024-45801)

Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2024-10-21
Описание

Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS)

Затрагиваемое ПО и версии
Red Hat Process Automation (7)Red Hat 3scale API Management Platform (2)Red Hat Advanced Cluster Management for Kubernetes (2)Red Hat OpenShift GitOpsRed Hat OpenShift Container Platform (4)Red Hat Enterprise Linux (9)Red Hat OpenShift Data Science (RHODS)Node HealthCheck OperatorNetwork Observability OperatorMigration Toolkit for VirtualizationRed Hat OpenShift Virtualization (4)Red Hat Ansible Automation Platform (2)Red Hat OpenShift Dev SpacesRed Hat Advanced Cluster Security (4)Cryostat (3)DOMPurify (до 3.1.3)DOMPurify (до 2.5.4)Red Hat OpenShift Logging (RHOL) (5.9)OpenShift AIOracle Application Express (23.2)Oracle Application Express (24.1)VMmanager 6 (до 6.2.2025.10.1)
Способ устранения

Использование рекомендаций:
Для DOMPurify:
https://github.com/cure53/DOMPurify/commit/1e520262bf4c66b5efda49e2316d6d1246ca7b21
https://github.com/cure53/DOMPurify/commit/26e1d69ca7f769f5c558619d644d90dd8bf26ebc
https://github.com/cure53/DOMPurify/security/advisories/GHSA-mmhx-hmjr-r674

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-45801

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2024.html?904622

Для VMmanager 6:
обновление программного обеспечения, применение оперативного обновления Vmmanager 6 6.2.2025.10.1, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://github.com/cure53/DOMPurify/commit/1e520262bf4c66b5efda49e2316d6d1246ca7b21https://github.com/cure53/DOMPurify/commit/26e1d69ca7f769f5c558619d644d90dd8bf26ebchttps://github.com/cure53/DOMPurify/security/advisories/GHSA-mmhx-hmjr-r674https://access.redhat.com/security/cve/cve-2024-45801https://www.oracle.com/security-alerts/cpuoct2024.html?904622https://www.cybersecurity-help.cz/vdb/SB2024092751https://www.cybersecurity-help.cz/vdb/SB20241015115https://bugzilla.redhat.com/show_bug.cgi?id=2312631
Проверьте безопасность своего сайта и почты → Полная проверка домена