Titulár (v Slovak) (Slovak)

0
17

Titulár (v Slovak)

Významná správa (v Slovak)

Co je o výpadku/výpadeku

Open VSX Registry nepravilne sanitizuje SVG súbory nahraté ako ikonky rozšírení pred uložením a ich poskytuje s Content-Type: image/svg+xml bez bezpečnostných hlavičiek ako napríklad Content-Security-Policy alebo Content-Disposition: attachment. Toto umožňuje útoku na publikovanie rozšírenia so malými SVG ikonami a dosiahnutie uloženej cross-site scripting (XSS) ak používateľ naviguje priamo na URL ikony.

Na nasadeniach s lokálnym uložením sa vykonáva skriptovanie v origináli aplikácie Open VSX, čo umožňuje hijackovanie relácií session, prístup k autentickým tokom a neautorizovanému publikovaniu rozšírení. Na nasadeniach s externým uložením (napríklad open-vsx.org s CDN S3), vykonáva sa skriptovanie na úrovni originála uloženia, zmenšujúc úpomínku o dôjalu ale stále umožňujúc phishing a uchovávanie hesiel pomocou stránok vytvorených útokučníkom.

Bezpečný školený kód

// Ukázka bezpečného skriptu na kontrolu SVG ikon
function sanitizeSVG(svg) {
    const parser = new DOMParser();
    try {
        const doc = parser.parseFromString(svg, 'image/svg+xml');
        // Kontrola všetkých elementov SVG a ich atribútov
        for (const elem of doc.documentElement.querySelectorAll('*')) {
            if (elem.tagName === 'script' || elem.tagName === 'style') {
                console.error('Detected potentially malicious script or style tag in SVG.');
                return null; // Nezachraňujte nebezpečný SVG
            }
        }
        return svg;
    } catch (error) {
        console.error('Error parsing SVG:', error);
        return null; // Nezachraňujte nesprávny SVG
    }
}

// Príklad použitia funkcie
const maliciousSVG = '<svg><script>alert("XSS")</script></svg>';
const safeSVG = sanitizeSVG(maliciousSVG);

if (safeSVG) {
    console.log('Safe SVG:', safeSVG);
} else {
    console.log('Unsafe SVG detected.');
}

**Riziko:** Všetky skripty a style elementy sa kontrolujú pri nahrávaní SVG ikon. Ak je detekovaný nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Kontrola prenutia

1. **Kontrola všetkých elementov SVG:** Skript kontroluje všetky elementy SVG a ich atribúty.
2. **Zakazanie skriptov a style elementov:** Ak sa detekuje nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Reference

1. [CVE-2026-4983 - Detalí CVSS, EPSS a CISA Kev | CVE Find](https://www.cvefind.com/es/cve/CVE-2026-4983.html)
2. [Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/data/definitions/)
3. [NVD - CVE-2026-4983](https://nvd.nist.gov/vuln/detail/CVE-2026-4983)
4. [CWE-1434: CWE - Insecure Setting of Generative AI/ML Model Inference Parameters (4.20)](https://cwe.mitre.org/data/definitions/1434.html)
5. [CWE-1431: CWE - Driving Intermediate Cryptographic State/Results to Hardware Module Outputs (4.20)](https://cwe.mitre.org/data/definitions/1431.html)
6. [CWE-1428: CWE - Reliance on HTTP instead of HTTPS (4.20)](https://cwe.mitre.org/data/definitions/1428.html)
7. [CWE-1429: CWE - Missing Security-Relevant Feedback for Unexecuted Operations in Hardware Interface (4.20)](https://cwe.mitre.org/data/definitions/1429.html)
8. [CWE-1427: CWE - Improper Neutralization of Input Used for LLM Prompting (4.20)](https://cwe.mitre.org/data/definitions/1427.html)
9. [CWE-79: CWE - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (4.20)](https://cwe.mitre.org/data/definitions/79.html)

References

  • Related reference: https://www.cve.org/CVERecord?id=CVE-2026-4983
البحث
الأقسام
إقرأ المزيد
Art
Los Secretos de Silicon Valley y la IA: La Transformación Inminente (SEO Título)
**Descubre cómo la inteligencia artificial está revolucionando a las empresas de Silicon...
بواسطة Mario Serrano 2026-07-04 10:31:03 0 2
Art
عناية الأمن السيبراني للعام 2026: ¡لا تفوت!
تستكشف هذا المقال كيف سيتطور الهجمات المتقدمة وكيف يمكنك الحماية في عالم أكثر وصولاً وتعلماً.
بواسطة Mario Serrano 2026-07-06 03:28:37 0 38
Art
Google's Delay in Leveraging Transformers: A Deep Dive into AI Innovation
Understanding Google's Delay in Embracing Transformers In the ever-evolving landscape of...
بواسطة Mario Serrano 2026-07-05 01:37:15 0 2
Art
Silicon Valley: La Fuerza Oculta detrás del Nuevo Régimen Tecnológico
Introducción El video 'Cómo es realmente Silicon Valley' desvela las dimensiones ocultas de esta...
بواسطة Mario Serrano 2026-07-04 22:41:51 0 2
Art
Explorando la Innovación: Fernando en Google X - El Nuevo Horizonte de la Inteligencia Artificial (SEO Keywords: "Fernando en Google X - Avance de la IA")
**Descubre cómo Fernando está transformando la inteligencia artificial en el corazón de la...
بواسطة Mario Serrano 2026-07-04 12:49:58 0 2