[研究]Bootstrap 5.3.3 有 CVE-2024-6484 (NVD) Medium 中等級弱點

[研究]Bootstrap 5.3.3 有 CVE-2024-6484 (NVD) Medium 中等級弱點

2024-10-11

下圖，OWASP Dependency-Track (DT) 說 Bootstrap 5.3.3 有 CVE-2024-6484 (NVD) Medium 中等級弱點 (2024-09-26)

NVD = National Vulnerability Database

CVE-2024-6484 Detail (2024-07-11)
https://nvd.nist.gov/vuln/detail/CVE-2024-6484
Bootstrap 中已發現一個漏洞，該漏洞會使用戶遭受跨站點腳本 (XSS) 攻擊。這個問題存在於輪播元件中，由於清理不充分，可以透過 <a> 標籤的 href 屬性來利用 data-slide 和 data-slide-to 屬性。此漏洞可能使攻擊者能夠在受害者的瀏覽器中執行任意 JavaScript。

用 getbootstrap 找，bootstrap 5.x 在 NVD 沒有弱點
https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&orderBy=CPEURI&keyword=getbootstrap&status=FINAL&startIndex=40

Snyk 目前 bootstrap 5.x 無弱點
https://security.snyk.io/package/npm/bootstrap/5.0.0

Bootstrap 5 目前沒有 Vulnerabilities (Apr 4, 2024)
https://www.twingate.com/blog/tips/bootstrap-vulnerabilities

CVE-2024-6484
https://www.herodevs.com/vulnerability-directory/cve-2024-6484
跨站腳本，影響：>=2.0.0 且 <=3.4.1

弱點 CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
https://cwe.mitre.org/data/definitions/79

參考
https://www.herodevs.com/vulnerability-directory/cve-2024-6484

NuGet - bootstrap 5.3.3 是目前最新版了
https://getbootstrap.com/
https://www.nuget.org/packages/bootstrap

不知是弱點太新，很多資訊來源尚未更新，還是 Dependency-Track (DT) 誤判，尚待觀察。

如果沒有 data-slide 和 data-slide-to 屬性使用就不用擔心此弱點。

(完)