CVE-2024-38526

pdoc embeds link to malicious CDN if math mode is enabled

CVSS 0 NONEEPSS 3.8%CWE-1395

Em resumo

O pdoc, ferramenta para criar documentação de projetos Python, incluía links para um serviço de CDN (polyfill.io) que foi vendido e agora distribui código malicioso quando o recurso de matemática estava ativado. Isso poderia executar scripts maliciosos nos navegadores de quem visualiza a documentação gerada.

Detalhe técnico

Versões do pdoc anteriores à 14.5.1 incorporam links de CDN de terceiros no HTML da documentação gerada quando o modo matemático está ativado. O domínio polyfill.io mudou de proprietário e agora entrega JavaScript malicioso, criando um risco de cadeia de suprimentos para consumidores da documentação. O vetor de ataque é entrega passiva através de recursos de CDN comprometidos referenciados na saída HTML.

Resumo gerado e traduzido por IA a partir da descrição oficial.

pdoc provides API Documentation for Python Projects. Documentation generated with `pdoc --math` linked to JavaScript files from polyfill.io. The polyfill.io CDN has been sold and now serves malicious code. This issue has been fixed in pdoc 14.5.1.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L/E:H/RL:O/RC:C/MC:N/MI:N/MA:N

Produtos afetados

mitmproxy · pdoc

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/mitmproxy/pdoc/pull/703 https://github.com/mitmproxy/pdoc/security/advisories/GHSA-5vgj-ggm4-fg62 https://sansec.io/research/polyfill-supply-chain-attack https://www.vicarius.io/vsociety/posts/polyfillio-in-pdoc-cve-2024-38526