Vulnerabilidad en Vite (CVE-2023-49293)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

04/12/2023

Última modificación:

08/12/2023

Descripción

Vite es un framework de interfaz de sitio web. Cuando la transformación HTML de Vite se invoca manualmente a través de `server.transformIndexHtml`, la URL de solicitud original se pasa sin modificar y el `html` que se transforma contiene scripts de módulo en línea (``), es posible inyectar HTML arbitrario en la salida transformada proporcionando una cadena de consulta URL maliciosa a `server.transformIndexHtml`. Solo se ven afectadas las aplicaciones que usan `appType: &#39;custom&#39;` y usan el middleware HTML predeterminado de Vite. La entrada HTML también debe contener un script en línea. El ataque requiere que un usuario haga clic en una URL maliciosa mientras ejecuta el servidor de desarrollo. Los archivos restringidos no están expuestos al atacante. Este problema se ha solucionado en vite@5.0.5, vite@4.5.1 y vite@4.4.12. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:vitejs:vite::::::node.js::*	4.4.0 (incluyendo)	4.4.11 (incluyendo)
cpe:2.3:a:vitejs:vite::::::node.js::*	5.0.0 (incluyendo)	5.0.4 (incluyendo)
cpe:2.3:a:vitejs:vite:5.0.0:-::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta0::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta1::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta10::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta11::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta12::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta13::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta14::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta15::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta16::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta17::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta18::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta19::::node.js::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/vitejs/vite/security/advisories/GHSA-92r3-m2mg-pj97

CPE	Desde	Hasta
cpe:2.3:a:vitejs:vite::::::node.js::*	4.4.0 (incluyendo)	4.4.11 (incluyendo)
cpe:2.3:a:vitejs:vite::::::node.js::*	5.0.0 (incluyendo)	5.0.4 (incluyendo)
cpe:2.3:a:vitejs:vite:5.0.0:-::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta0::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta1::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta10::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta11::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta12::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta13::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta14::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta15::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta16::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta17::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta18::::node.js::*
cpe:2.3:a:vitejs:vite:5.0.0:beta19::::node.js::*