En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de nous aider dans nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

Nous vous remercions ! Votre demande a bien été reçue !

Oups ! Un problème s'est produit lors de l'envoi du formulaire.

Voir toutes les vulnérabilités

CVE-2024-33665

Scripts croisés (Cross-Site Scripting)

Affectations

Angular Translate

>=2.19.1

AngularJS

Patch disponible

Cette vulnérabilité a été corrigée dans la version Never-Ending Support (NES) proposée par HeroDevs.

Voir la solution NES

‍StepsTo Reproduce :

La vulnérabilité peut être déclenchée en injectant un code malveillant dans les champs de saisie qui sont ensuite traités par la directive translate. Une preuve de concept démontrant cet exploit est disponible sur le site de StackBlitzqui montre comment des scripts malveillants peuvent être introduits dans un système en utilisant angular-translate.

Aborder la question :

Bien que angular-translate pour AngularJS arrive en fin de vie, HeroDevs a décidé de fournir un correctif critique pour remédier à cette vulnérabilité. Ce correctif garantit que les clés d'entrée sont correctement analysées, bloquant ainsi le potentiel d'attaques XSS à travers ce vecteur.

Les clients de HeroDevs qui paient pour AngularJS Essentials Never-Ending Support ont reçu la correction de ce problème dans la dernière version NES de angular-translate (angularjs-essentials@1.8.3-angular-translate-2.20.1). Si vous n'avez pas encore installé la dernière version ou si vous avez besoin d'aide, veuillez contacter notre équipe de support pour obtenir de l'aide.

Pour tous les autres utilisateurs d'Angular-translate, veuillez envisager une migration rapide. Alternativement, nous vous invitons à nous contacter pour explorer la facilité avec laquelle il est possible de recevoir des mises à jour AngularJS sécurisées de HeroDevs.

Apprentissage et prévention :

Pour aider davantage la communauté, HeroDevs offre des conseils détaillés sur la prévention de vulnérabilités similaires à l'avenir. Les stratégies clés comprennent l'assainissement des données d'entrée, en particulier celles qui interagissent avec des composants critiques tels que les directives de traduction. Nous recommandons également d'examiner et de mettre à jour régulièrement les bibliothèques tierces afin de détecter et de corriger les failles de sécurité potentielles avant qu'elles ne puissent être exploitées.

Conclusion :

CVE-2024-33665 rappelle l'importance de la maintenance et de la sécurisation des logiciels, même après leur fin de vie. Grâce à des mesures proactives et au soutien de la communauté, nous pouvons garantir un environnement numérique plus sûr pour tous les utilisateurs.

Si vous souhaitez bénéficier d'une assistance en matière de sécurité, de conformité et de compatibilité pour les applications AngularJS et les bibliothèques correspondantes, veuillez nous contacter à propos d'Angular.

Restez en sécurité et assurez-vous que vos systèmes sont mis à jour avec les derniers correctifs d'HeroDevs. Pour plus d'informations et de mises à jour de sécurité, continuez à suivre notre blog.