Contacter le service des ventes +1 877-586-1965

En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de nous aider dans nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

PréférencesRejeterAccepter
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Voir toutes les vulnérabilités

CVE-2024-6484

Scripts croisés (Cross-Site Scripting)
Affectations
Bootstrap
>=2.0.0 <=3.4.1
en
Bootstrap
Icône de cercle d'exclamation
Patch disponible
Cette vulnérabilité a été corrigée dans la version Never-Ending Support (NES) proposée par HeroDevs.
Voir la solution NES

Aperçu

Bootstrap est un framework HTML, CSS et JS pour le développement de sites web et d'applications réactifs et mobiles.

Une vulnérabilité de type cross-site scripting (XSS) a été identifiée dans le composant Carousel de Bootstrap 3.

Selon l' OWASP: Les attaques de type Cross-Site Scripting sont un type d'injection, dans lequel des scripts malveillants sont injectés dans des sites web par ailleurs bénins et de confiance. Les attaques XSS se produisent lorsqu'un pirate utilise une application web pour envoyer un code malveillant, généralement sous la forme d'un script côté navigateur, à un autre utilisateur final. Un pirate peut utiliser XSS pour envoyer un script malveillant à un utilisateur qui ne se doute de rien. 

Détails

Informations sur le module

Informations sur les vulnérabilités

An anchor element (<a>), when used for carousel navigation with a data-slide or data-slide-to attribute, can contain an href attribute value that is not subject to proper content sanitization. Improper extraction of the intended target carousel’s #id from the href attribute can lead to use cases where the click event’s preventDefault() is not applied and the href is evaluated and executed. As a result, restrictions are not applied to the data that is evaluated, which can lead to potential XSS vulnerabilities.

Étapes de la reproduction

Le code du composant carrousel n'extrait pas et n'assainit pas correctement les données de l'attribut href des éléments d'ancrage utilisés pour la navigation lorsqu'ils incluent l'attribut data-slide mais qu'il manque également une cible de données valide data-target="#someCarouselId". La présence d'un data-target valide remplacera le href et le XSS ne sera pas évalué. 

Voir la preuve de concept dans la section suivante. 

Exemple de code

<div id="myCarousel" class="carousel"></div>
<a href="javascript:alert('XSS href')" data-slide="prev">  
Previous Slide
</a>

Preuve de concept

URL CodePen

Une preuve de concept complète avec le code peut être consultée ici.

Crédits

  • K (trouveur)

Atténuation

Bootstrap 3 a atteint sa fin de vie. Les utilisateurs des composants concernés doivent appliquer l'une des mesures d'atténuation suivantes :

  • Migrer vers une version plus récente de Bootstrap
  • Appliquer son propre correctif
  • Faites appel à un partenaire commercial comme HeroDevs pour l'assistance à la sécurité après la fin de vie.

S'attaquer au problème

Bien que la version 3 de Bootstrap arrive en fin de vie, HeroDevs a décidé de fournir un correctif critique pour remédier à cette vulnérabilité. Ce correctif garantit que les attributs href sont correctement nettoyés, bloquant ainsi le potentiel d'attaques XSS par ce vecteur.

Les clients de HeroDevs qui paient pour le Bootstrap Never-Ending Support ont reçu la correction de ce problème dans la dernière version NES de Bootstrap 3 (bootstrap@3.4.5). Si vous n'avez pas encore installé la dernière version ou si vous avez besoin d'aide, veuillez contacter notre équipe d'assistance pour obtenir de l'aide.

Pour tous les autres utilisateurs de Bootstrap 3, veuillez envisager une migration rapide de Bootstrap 3. Sinon, n'hésitez pas à nous contacter pour découvrir à quel point il est facile de recevoir des mises à jour sécurisées de Bootstrap 3 de la part de HeroDevs.

Apprentissage et prévention

Pour aider la communauté, HeroDevs offre des conseils détaillés sur la prévention de vulnérabilités similaires à l'avenir. Les stratégies clés comprennent l'assainissement des entrées de données, en particulier celles qui interagissent avec des composants critiques tels que la navigation dynamique par carrousel. Nous recommandons également d'examiner et de mettre à jour régulièrement les bibliothèques tierces afin de détecter et de corriger les failles de sécurité potentielles avant qu'elles ne puissent être exploitées.

Conclusion

CVE-2024-6484 rappelle l'importance de la maintenance et de la sécurisation des logiciels, même après leur fin de vie. Grâce à des mesures proactives et au soutien de la communauté, nous pouvons garantir un environnement numérique plus sûr pour tous les utilisateurs.

Si vous souhaitez bénéficier d'une assistance en matière de sécurité, de conformité et de compatibilité pour Bootstrap 3 et les bibliothèques correspondantes, veuillez nous contacter.

Restez en sécurité et assurez-vous que vos systèmes sont mis à jour avec les derniers correctifs de HeroDevs. Suivez notre blog pour plus d'informations et de mises à jour de sécurité.

Détails de la vulnérabilité
ID
CVE-2024-6484
PROJET concerné
Bootstrap
Versions concernées
>=2.0.0 <=3.4.1
≈ Date fixe
11 juillet 2024
Fixé en
Bootstrap NES
Sévérité
Moyen
Catégorie
Scripts croisés (Cross-Site Scripting)