vitejs vite bis 4.4.11/4.5.0/5.0.4 URL Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

In vitejs vite bis 4.4.11/4.5.0/5.0.4 wurde eine problematische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Komponente URL Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:

Vite is a website frontend framework. When Vite's HTML transformation is invoked manually via `server.transformIndexHtml`, the original request URL is passed in unmodified, and the `html` being transformed contains inline module scripts (`...`), it is possible to inject arbitrary HTML into the transformed output by supplying a malicious URL query string to `server.transformIndexHtml`. Only apps using `appType: 'custom'` and using the default Vite HTML middleware are affected. The HTML entry must also contain an inline script. The attack requires a user to click on a malicious URL while running the dev server. Restricted files aren't exposed to the attacker. This issue has been addressed in vite@5.0.5, vite@4.5.1, and vite@4.4.12. There are no known workarounds for this vulnerability.

Die Schwachstelle wurde am 05.12.2023 als GHSA-92r3-m2mg-pj97 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 24.11.2023 mit CVE-2023-49293 vorgenommen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.

Ein Upgrade auf die Version 4.4.12, 4.5.1 oder 5.0.5 vermag dieses Problem zu beheben.

Die Schwachstellen VDB-262022, VDB-262212, VDB-263358 und VDB-264126 sind ähnlich.

Produktinfo

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔒
VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.2
VulDB Meta Temp Score: 5.1

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 6.1
CNA Vector (GitHub, Inc.): 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: vite 4.4.12/4.5.1/5.0.5

Timelineinfo

24.11.2023 CVE zugewiesen
05.12.2023 +11 Tage Advisory veröffentlicht
05.12.2023 +0 Tage VulDB Eintrag erstellt
05.12.2023 +0 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Advisory: GHSA-92r3-m2mg-pj97
Status: Bestätigt

CVE: CVE-2023-49293 (🔒)
Siehe auch: 🔒

Eintraginfo

Erstellt: 05.12.2023 08:16
Anpassungen: 05.12.2023 08:16 (51)
Komplett: 🔍
Cache ID: 3:A27:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!