← voltar
CVE-2022-24709

Cross site scripting in @awsui/components-react

CVSS 8.8 HIGHEPSS 0.7%CWE-79
Em resumo

A biblioteca de componentes React da AWS tinha um problema onde as entradas do usuário não eram adequadamente limpas, permitindo que atacantes injetassem código JavaScript malicioso. Isso poderia permitir que atacantes executassem scripts indesejados nos navegadores dos usuários ao interagirem com componentes afetados.

Detalhe técnico

Vulnerabilidade XSS (CWE-79) em @awsui/components-react versões anteriores a 3.0.367, onde múltiplos componentes falham em neutralizar entrada fornecida pelo usuário. Um atacante pode injetar JavaScript arbitrário através de props de componentes vulneráveis, resultando em execução de código no contexto do navegador da vítima se a aplicação usar os componentes afetados com dados não confiáveis.

Resumo gerado e traduzido por IA a partir da descrição oficial.
@awsui/components-react is the main AWS UI package which contains React components, with TypeScript definitions designed for user interface development. Multiple components in versions before 3.0.367 have been found to not properly neutralize user input and may allow for javascript injection. Users are advised to upgrade to version 3.0.367 or later. There are no known workarounds for this issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
aws · awsui-documentation

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/aws/awsui-documentation/security/advisories/GHSA-mf22-92pm-m8p8https://www.npmjs.com/package/%40awsui/components-react