CVE-2024-45803 in Wire UIinfo

Zusammenfassung

von VulDB • 19.06.2026

Wire UI ist eine Bibliothek mit Komponenten und Ressourcen zur Unterstützung der Entwicklung von Laravel- und Livewire-Anwendungen. Es wurde eine potenzielle Cross-Site Scripting (XSS)-Schwachstelle im `/wireui/button`-Endpunkt identifiziert, die spezifisch über den Abfrageparameter `label` ausgenutzt werden kann. Böswillige Akteure könnten diese Schwachstelle nutzen, indem sie JavaScript in den Parameter `label` injizieren, was zur Ausführung beliebigen Codes im Browser des Opfers führt. Der Endpunkt `/wireui/button` rendert Schaltflächenbeschriftungen dynamisch basierend auf benutzerbereitgestellten Eingaben über den Abfrageparameter `label`. Aufgrund unzureichender Bereinigung oder Maskierung dieser Eingabe kann ein Angreifer schädliches JavaScript injizieren. Durch das Erstellen einer solchen Anfrage kann ein Angreifer beliebigen Code injizieren, der vom Browser ausgeführt wird, wenn auf den Endpunkt zugegriffen wird. Bei Ausnutzung dieser Schwachstelle könnte dies einem Angreifer ermöglichen, beliebiges JavaScript im Kontext der betroffenen Website auszuführen. Dies könnte zu folgenden Konsequenzen führen: **Session-Hijacking**: Stehlen von Session-Cookies, Tokens oder anderen sensiblen Informationen. **Benutzernachahmung**: Durchführen nicht autorisierter Aktionen im Namen authentifizierter Benutzer. **Phishing**: Umleiten von Benutzern auf bösartige Websites. **Inhaltsmanipulation**: Ändern des Aussehens oder Verhaltens der betroffenen Seite, um Benutzer zu täuschen oder weitere Angriffe auszuführen. Die Schwere dieser Schwachstelle hängt vom Kontext ab, in dem die betroffene Komponente verwendet wird, stellt jedoch in allen Fällen ein erhebliches Risiko für die Benutzersicherheit dar. Dieses Problem wurde in den Release-Versionen 1.19.3 und 2.1.3 behoben. Es wird empfohlen, das Upgrade durchzuführen. Für diese Schwachstelle sind keine bekannten Workarounds verfügbar.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

09.09.2024

Veröffentlichung

17.09.2024

Moderieren

akzeptiert

Eintrag

VDB-277793

CPE

bereit

EPSS

0.00392

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!