CVE-2022-24709

Cross site scripting in @awsui/components-react

CVSS 8.8 HIGHEPSS 0.7%CWE-79

En resumen

La biblioteca de componentes React de AWS tenía un defecto donde la entrada del usuario no se limpiaba correctamente, permitiendo que atacantes inyectaran código JavaScript malicioso. Esto podría permitir que los atacantes ejecuten scripts no deseados en los navegadores de los usuarios al interactuar con componentes afectados.

Detalle técnico

Vulnerabilidad XSS (CWE-79) en @awsui/components-react versiones anteriores a 3.0.367, donde múltiples componentes fallan en neutralizar entrada suministrada por el usuario. Un atacante puede inyectar JavaScript arbitrario a través de props de componentes vulnerables, resultando en ejecución de código en el contexto del navegador de la víctima si la aplicación utiliza los componentes afectados con datos no confiables.

Resumen generado y traducido por IA a partir de la descripción oficial.

@awsui/components-react is the main AWS UI package which contains React components, with TypeScript definitions designed for user interface development. Multiple components in versions before 3.0.367 have been found to not properly neutralize user input and may allow for javascript injection. Users are advised to upgrade to version 3.0.367 or later. There are no known workarounds for this issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

aws · awsui-documentation

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/aws/awsui-documentation/security/advisories/GHSA-mf22-92pm-m8p8 https://www.npmjs.com/package/%40awsui/components-react