Titulár (v Slovak) (Slovak)

0
4

Titulár (v Slovak)

Významná správa (v Slovak)

Co je o výpadku/výpadeku

Open VSX Registry nepravilne sanitizuje SVG súbory nahraté ako ikonky rozšírení pred uložením a ich poskytuje s Content-Type: image/svg+xml bez bezpečnostných hlavičiek ako napríklad Content-Security-Policy alebo Content-Disposition: attachment. Toto umožňuje útoku na publikovanie rozšírenia so malými SVG ikonami a dosiahnutie uloženej cross-site scripting (XSS) ak používateľ naviguje priamo na URL ikony.

Na nasadeniach s lokálnym uložením sa vykonáva skriptovanie v origináli aplikácie Open VSX, čo umožňuje hijackovanie relácií session, prístup k autentickým tokom a neautorizovanému publikovaniu rozšírení. Na nasadeniach s externým uložením (napríklad open-vsx.org s CDN S3), vykonáva sa skriptovanie na úrovni originála uloženia, zmenšujúc úpomínku o dôjalu ale stále umožňujúc phishing a uchovávanie hesiel pomocou stránok vytvorených útokučníkom.

Bezpečný školený kód

// Ukázka bezpečného skriptu na kontrolu SVG ikon
function sanitizeSVG(svg) {
    const parser = new DOMParser();
    try {
        const doc = parser.parseFromString(svg, 'image/svg+xml');
        // Kontrola všetkých elementov SVG a ich atribútov
        for (const elem of doc.documentElement.querySelectorAll('*')) {
            if (elem.tagName === 'script' || elem.tagName === 'style') {
                console.error('Detected potentially malicious script or style tag in SVG.');
                return null; // Nezachraňujte nebezpečný SVG
            }
        }
        return svg;
    } catch (error) {
        console.error('Error parsing SVG:', error);
        return null; // Nezachraňujte nesprávny SVG
    }
}

// Príklad použitia funkcie
const maliciousSVG = '<svg><script>alert("XSS")</script></svg>';
const safeSVG = sanitizeSVG(maliciousSVG);

if (safeSVG) {
    console.log('Safe SVG:', safeSVG);
} else {
    console.log('Unsafe SVG detected.');
}

**Riziko:** Všetky skripty a style elementy sa kontrolujú pri nahrávaní SVG ikon. Ak je detekovaný nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Kontrola prenutia

1. **Kontrola všetkých elementov SVG:** Skript kontroluje všetky elementy SVG a ich atribúty.
2. **Zakazanie skriptov a style elementov:** Ak sa detekuje nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Reference

1. [CVE-2026-4983 - Detalí CVSS, EPSS a CISA Kev | CVE Find](https://www.cvefind.com/es/cve/CVE-2026-4983.html)
2. [Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/data/definitions/)
3. [NVD - CVE-2026-4983](https://nvd.nist.gov/vuln/detail/CVE-2026-4983)
4. [CWE-1434: CWE - Insecure Setting of Generative AI/ML Model Inference Parameters (4.20)](https://cwe.mitre.org/data/definitions/1434.html)
5. [CWE-1431: CWE - Driving Intermediate Cryptographic State/Results to Hardware Module Outputs (4.20)](https://cwe.mitre.org/data/definitions/1431.html)
6. [CWE-1428: CWE - Reliance on HTTP instead of HTTPS (4.20)](https://cwe.mitre.org/data/definitions/1428.html)
7. [CWE-1429: CWE - Missing Security-Relevant Feedback for Unexecuted Operations in Hardware Interface (4.20)](https://cwe.mitre.org/data/definitions/1429.html)
8. [CWE-1427: CWE - Improper Neutralization of Input Used for LLM Prompting (4.20)](https://cwe.mitre.org/data/definitions/1427.html)
9. [CWE-79: CWE - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (4.20)](https://cwe.mitre.org/data/definitions/79.html)

References

  • Related reference: https://www.cve.org/CVERecord?id=CVE-2026-4983
Buscar
Categorías
Leer más
Arte
Elón Musk, Google y OpenAI: Los secretos de Silicon Valley
Resumen del video y sus implicaciones Este vídeo explora las misteriosas operaciones de figuras...
Por Mario Serrano 2026-07-04 17:55:47 0 18
Arte
Cultura Interna de Innovación en Google: La Fuerza Impulsora detrás del Éxito de la IA
*Meta Descripción:* Descubre cómo Google fomenta una cultura interna de innovación que impulsa el...
Por Mario Serrano 2026-07-05 03:11:03 0 2
Arte
Europa endurece las normas sobre el contenido generado con IA: Un análisis crítico
Introducción a las nuevas directrices de la UE sobre IA y contenido generado por máquinas ¿Has...
Por Mario Serrano 2026-07-04 14:16:24 0 3
Arte
"Reglas de Exportación de Mythos 5 en EE. UU.: Impulso para Empresas Seleccionadas"
*Meta Descripción:* Explora las reglas recientemente aprobadas por los Estados Unidos que...
Por Mario Serrano 2026-07-04 09:45:02 0 0
Arte
NOTICIAS IA: ChatGPT Sol sorprende a todo el mundo
**Meta Descripción:** Descubre cómo ChatGPT de OpenAI ha revolucionado la inteligencia...
Por Mario Serrano 2026-07-04 21:40:21 0 4