CVE-2024-38526

pdoc embeds link to malicious CDN if math mode is enabled

CVSS 0 NONEEPSS 3.8%CWE-1395

En resumen

pdoc, una herramienta para crear documentación de proyectos Python, incluía enlaces a un servicio CDN (polyfill.io) que fue vendido y ahora distribuye código malicioso cuando la función de matemática estaba habilitada. Esto podría ejecutar scripts maliciosos en los navegadores de quienes ven la documentación generada.

Detalle técnico

Las versiones de pdoc anteriores a 14.5.1 incorporan enlaces de CDN de terceros en el HTML de documentación generada cuando el modo matemático está habilitado. El dominio polyfill.io cambió de propietario y ahora entrega JavaScript malicioso, creando un riesgo de cadena de suministro para consumidores de la documentación. El vector de ataque es entrega pasiva a través de recursos de CDN comprometidos referenciados en la salida HTML.

Resumen generado y traducido por IA a partir de la descripción oficial.

pdoc provides API Documentation for Python Projects. Documentation generated with `pdoc --math` linked to JavaScript files from polyfill.io. The polyfill.io CDN has been sold and now serves malicious code. This issue has been fixed in pdoc 14.5.1.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L/E:H/RL:O/RC:C/MC:N/MI:N/MA:N

Productos afectados

mitmproxy · pdoc

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/mitmproxy/pdoc/pull/703 https://github.com/mitmproxy/pdoc/security/advisories/GHSA-5vgj-ggm4-fg62 https://sansec.io/research/polyfill-supply-chain-attack https://www.vicarius.io/vsociety/posts/polyfillio-in-pdoc-cve-2024-38526