[研究]Bootstrap 5.3.3 有 CVE-2024-6484 (NVD) Medium 中等級弱點
2024-10-11
下圖,OWASP Dependency-Track (DT) 說 Bootstrap 5.3.3 有 CVE-2024-6484 (NVD) Medium 中等級弱點 (2024-09-26)
NVD = National Vulnerability Database
CVE-2024-6484 Detail (2024-07-11)
https://nvd.nist.gov/vuln/detail/CVE-2024-6484
Bootstrap 中已發現一個漏洞,該漏洞會使用戶遭受跨站點腳本 (XSS) 攻擊。這個問題存在於輪播元件中,由於清理不充分,可以透過 <a> 標籤的 href 屬性來利用 data-slide 和 data-slide-to 屬性。此漏洞可能使攻擊者能夠在受害者的瀏覽器中執行任意 JavaScript。
用 getbootstrap 找,bootstrap 5.x 在 NVD 沒有弱點
https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&orderBy=CPEURI&keyword=getbootstrap&status=FINAL&startIndex=40
Snyk 目前 bootstrap 5.x 無弱點
https://security.snyk.io/package/npm/bootstrap/5.0.0
Bootstrap 5 目前沒有 Vulnerabilities (Apr 4, 2024)
https://www.twingate.com/blog/tips/bootstrap-vulnerabilities
CVE-2024-6484
https://www.herodevs.com/vulnerability-directory/cve-2024-6484
跨站腳本,影響:>=2.0.0 且 <=3.4.1
弱點 CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
https://cwe.mitre.org/data/definitions/79
參考
https://www.herodevs.com/vulnerability-directory/cve-2024-6484
NuGet - bootstrap 5.3.3 是目前最新版了
https://getbootstrap.com/
https://www.nuget.org/packages/bootstrap
不知是弱點太新,很多資訊來源尚未更新,還是 Dependency-Track (DT) 誤判,尚待觀察。
如果沒有 data-slide 和 data-slide-to 屬性使用就不用擔心此弱點。
(完)
沒有留言:
張貼留言