CVE-2024-43800

serve-static affected by template injection that can lead to XSS

CVSS 5 MEDIUMEPSS 0.6%CWE-79

Em resumo

Uma falha no serve-static permite que atacantes injetem código malicioso por meio de requisições especialmente preparadas que contornam a sanitização, potencialmente executando scripts não autorizados nos navegadores dos usuários.

Detalhe técnico

A vulnerabilidade está na função redirect() que, apesar de tentar sanitizar dados do usuário, ainda passa entrada não confiável para execução de código; isso permite injeção de template que resulta em XSS. O vetor de ataque é via requisições HTTP com parâmetros de redirecionamento manipulados; pré-condição é que o atacante controle a entrada do usuário que chega à função redirect(). O impacto inclui execução arbitrária de script no contexto da sessão do navegador da vítima.

Resumo gerado e traduzido por IA a partir da descrição oficial.

serve-static serves static files. serve-static passes untrusted user input - even after sanitizing it - to redirect() may execute untrusted code. This issue is patched in serve-static 1.16.0.

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L

Produtos afetados

expressjs · serve-static

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/expressjs/serve-static/commit/0c11fad159898cdc69fd9ab63269b72468ecaf6b https://github.com/expressjs/serve-static/commit/ce730896fddce1588111d9ef6fdf20896de5c6fa https://github.com/expressjs/serve-static/security/advisories/GHSA-cm22-4g7w-348p