Die kritische Sicherheitslücke CVE-2024-34710 in Wiki.js, einem Node.js basierten Wiki Framework, betrifft alle Versionen bis einschließlich 2.5.302 und wurde in der neuesten Version 2.5.303 behoben. Die Stored Cross-Site Scripting (XSS) durch Client-Side Template Injection Lücke, ermöglicht es Angreifern, bösartigen JavaScript-Code in den Inhaltsbereich von Webseiten einzuschleusen. Dieser Code wird ausgeführt, sobald ein Opfer die Seite lädt, die die schädliche Nutzlast enthält.
Der Ursprung der Schwachstelle liegt in der Art und Weise, wie Mustache-Ausdrücke verarbeitet werden. Die Entität-Escapierung der Mustache-Ausdrücke erfolgt vor der Anwendung des dom-purify
-Moduls, das ungültige Tags entfernt. Nach der Entfernung der ungültigen Tags werden die Mustache-Ausdrücke jedoch nicht mehr escaped. Dadurch können Angreifer ungültige HTML-Tags zusammen mit einer Template-Injection-Nutzlast einfügen, die bei Ausführung schädlichen JavaScript-Code aktiviert.
Beispiel:
<xyzabcd>
{{constructor.constructor('alert(1)')()}}
Diese Schwachstelle hat erhebliche Auswirkungen auf die Sicherheit, insbesondere im Kontext von Single-Page-Applications (SPAs), die häufig auf JSON Web Tokens (JWT) und andere Authentifizierungscookies angewiesen sind. Wenn der HTTPOnly-Flag für diese Cookies nicht gesetzt ist, können sie durch JavaScript kompromittiert werden. Dies kann zur Übernahme von normalen und privilegierten Benutzerkonten führen. Darüber hinaus erlaubt die Schwachstelle einem Bedrohungsakteur, jeglichen JavaScript-Code im Browser des Opfers auszuführen, was nicht auf die Kompromittierung von Authentifizierungscookies beschränkt ist.
Die Sicherheitslücke wurde mit einer CVSS-Basisbewertung von 7.1 als hoch eingestuft. Die wichtigsten CVSS-Metriken sind:
- Angriffsvektor: Netzwerk
- Angriffskomplexität: Niedrig
- Erforderliche Privilegien: Niedrig
- Benutzerinteraktion: Keine
- Vertraulichkeit: Hoch
- Integrität: Niedrig
- Verfügbarkeit: Keine
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Es wird dringend empfohlen, die betroffenen Systeme so schnell wie möglich auf die gepatchte Version 2.5.303 zu aktualisieren, um diese Sicherheitslücke zu schließen. Administratoren und Entwickler sollten zudem sicherstellen, dass alle Authentifizierungscookies mit dem HTTPOnly-Flag versehen sind, um eine mögliche Kompromittierung zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: