2024年10月7日 星期一

[研究]bootstrap 3.4.1弱點CVE-2024-6485

[研究]bootstrap 3.4.1弱點CVE-2024-6485

2024-10-01

********************************************************************************

EOL (End of Life)

bootstrap 3.4.1 是 13 Feb 2019 釋出。

End of Life Status Bootstrap 4
https://getbootstrap.com/docs/4.6/end-of-life/
Bootstrap 3 reached end of life July 24, 2019, followed by Bootstrap 4 on January 1, 2023

********************************************************************************

該漏洞為網頁前端使用data-loading-text屬性才有機會觸發該漏洞,若專案無使用該屬性不受影響;另外,若使用者輸入皆於伺服器端檢查與過濾,不受此弱點影響。 

********************************************************************************

美國國家弱點資料庫( NVD, National Vulnerability Database )

根據NVD,bootstrap 3.4.1 並沒有弱點 

https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&keyword=cpe%3A2.3%3Aa%3Agetbootstrap%3Abootstrap%3A3.4.1%3A*%3A*%3A*%3A*%3A*%3A*%3A*

https://nvd.nist.gov/products/cpe/detail/6D2FBAA4-7EB8-42ED-9BD3-6209BECA01CF?namingFormat=2.3&orderBy=CPEURI&keyword=cpe%3A2.3%3Aa%3Agetbootstrap%3Abootstrap%3A3.4.1%3A*%3A*%3A*%3A*%3A*%3A*%3A*&status=FINAL
(更新日期 05/07/2019)

https://nvd.nist.gov/vuln/search/results?adv_search=true&isCpeNameSearch=true&query=cpe%3A2.3%3Aa%3Agetbootstrap%3Abootstrap%3A3.4.1%3A*%3A*%3A*%3A*%3A*%3A*%3A*

**********

根據這篇,NIST對CVE-2024-6485是等待分析。
https://nvd.nist.gov/vuln/detail/CVE-2024-6485

********************************************************************************

CVEdetails

CVE-2024-6485
https://www.cvedetails.com/cve/CVE-2024-6485/
A security vulnerability has been discovered in bootstrap that could enable Cross-Site Scripting (XSS) attacks. The vulnerability is associated with the data-loading-text attribute within the button plugin. This vulnerability can be exploited by injecting malicious JavaScript code into the attribute, which would then be executed when the button's loading state is triggered.

2024-07-11 18:09:59 公布的,認為 bootstrap 有弱點,沒說版本範圍。

整個網站也搜不到明確說 3.4.1 有 CVE-2024-6485 弱點。

********************************************************************************

HeroDevs公司

CVE-2024-6485
https://zh.herodevs.com/vulnerability-directory/cve-2024-6485

boostrap >=2.0.0 且 boostrap <=3.4.1 有 CVE-2024-6485 弱點

註:HeroDevs 是一家專注於開源軟體開發的公司,成立於 2018 年。該公司提供開源軟體包和專家服務,幫助用戶安全且合規地使用軟體,並在需要時進行遷移。

********************************************************************************

要注意的是,Bootstrap 3, 4, 5 都是大改版,敝人測試過某些專案,Bootstrap 3.4.1 => Bootstrap 5.x 或 Bootstrap 4.x => Bootstrap 5.x,會導致版面美工或某些功能異常,官方也沒有工具可以輕鬆升級,必須實際測試和手工調整,最好安排足夠的時間去升級、測試和修改。 

基本上,因為 Bootstrap 3 和  Bootstrap 4 都已經 EOS,就算不受此次影響,建議盡量升級到 Bootstrap 5。避免日後發現嚴重漏洞一定要升級時,時間不足,措手不及。

(完)

沒有留言:

張貼留言