Vulnerabilidad en Wire UI (CVE-2024-45803)

Wire UI es una librería de componentes y recursos para potenciar el desarrollo de aplicaciones Laravel y Livewire. Se ha identificado una posible vulnerabilidad de Cross-Site Scripting (XSS) en el endpoint `/wireui/button`, específicamente a través del parámetro de consulta `label`. Los actores maliciosos podrían explotar esta vulnerabilidad inyectando JavaScript en el parámetro `label`, lo que lleva a la ejecución de código arbitrario en el navegador de la víctima. El endpoint `/wireui/button` representa dinámicamente las etiquetas de los botones en función de la entrada proporcionada por el usuario a través del parámetro de consulta `label`. Debido a la desinfección o el escape insuficiente de esta entrada, un atacante puede inyectar JavaScript malicioso. Al crear una solicitud de este tipo, un atacante puede inyectar código arbitrario que será ejecutado por el navegador cuando se acceda al endpoint. Si se explota, esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario en el contexto del sitio web afectado. Esto podría conducir a: **Secuestro de sesión**: Robo de cookies de sesión, tokens u otra información confidencial. **Suplantación de identidad de usuario**: realizar acciones no autorizadas en nombre de usuarios autenticados. **Phishing**: redireccionar a los usuarios a sitios web maliciosos. **Manipulación de contenido**: alterar la apariencia o el comportamiento de la página afectada para engañar a los usuarios o ejecutar más ataques. La gravedad de esta vulnerabilidad depende del contexto en el que se utiliza el componente afectado, pero en todos los casos supone un riesgo importante para la seguridad del usuario. Este problema se ha solucionado en las versiones 1.19.3 y 2.1.3. Se recomienda a los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.