Titulár (v Slovak) (Slovak)

0
11

Titulár (v Slovak)

Významná správa (v Slovak)

Co je o výpadku/výpadeku

Open VSX Registry nepravilne sanitizuje SVG súbory nahraté ako ikonky rozšírení pred uložením a ich poskytuje s Content-Type: image/svg+xml bez bezpečnostných hlavičiek ako napríklad Content-Security-Policy alebo Content-Disposition: attachment. Toto umožňuje útoku na publikovanie rozšírenia so malými SVG ikonami a dosiahnutie uloženej cross-site scripting (XSS) ak používateľ naviguje priamo na URL ikony.

Na nasadeniach s lokálnym uložením sa vykonáva skriptovanie v origináli aplikácie Open VSX, čo umožňuje hijackovanie relácií session, prístup k autentickým tokom a neautorizovanému publikovaniu rozšírení. Na nasadeniach s externým uložením (napríklad open-vsx.org s CDN S3), vykonáva sa skriptovanie na úrovni originála uloženia, zmenšujúc úpomínku o dôjalu ale stále umožňujúc phishing a uchovávanie hesiel pomocou stránok vytvorených útokučníkom.

Bezpečný školený kód

// Ukázka bezpečného skriptu na kontrolu SVG ikon
function sanitizeSVG(svg) {
    const parser = new DOMParser();
    try {
        const doc = parser.parseFromString(svg, 'image/svg+xml');
        // Kontrola všetkých elementov SVG a ich atribútov
        for (const elem of doc.documentElement.querySelectorAll('*')) {
            if (elem.tagName === 'script' || elem.tagName === 'style') {
                console.error('Detected potentially malicious script or style tag in SVG.');
                return null; // Nezachraňujte nebezpečný SVG
            }
        }
        return svg;
    } catch (error) {
        console.error('Error parsing SVG:', error);
        return null; // Nezachraňujte nesprávny SVG
    }
}

// Príklad použitia funkcie
const maliciousSVG = '<svg><script>alert("XSS")</script></svg>';
const safeSVG = sanitizeSVG(maliciousSVG);

if (safeSVG) {
    console.log('Safe SVG:', safeSVG);
} else {
    console.log('Unsafe SVG detected.');
}

**Riziko:** Všetky skripty a style elementy sa kontrolujú pri nahrávaní SVG ikon. Ak je detekovaný nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Kontrola prenutia

1. **Kontrola všetkých elementov SVG:** Skript kontroluje všetky elementy SVG a ich atribúty.
2. **Zakazanie skriptov a style elementov:** Ak sa detekuje nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Reference

1. [CVE-2026-4983 - Detalí CVSS, EPSS a CISA Kev | CVE Find](https://www.cvefind.com/es/cve/CVE-2026-4983.html)
2. [Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/data/definitions/)
3. [NVD - CVE-2026-4983](https://nvd.nist.gov/vuln/detail/CVE-2026-4983)
4. [CWE-1434: CWE - Insecure Setting of Generative AI/ML Model Inference Parameters (4.20)](https://cwe.mitre.org/data/definitions/1434.html)
5. [CWE-1431: CWE - Driving Intermediate Cryptographic State/Results to Hardware Module Outputs (4.20)](https://cwe.mitre.org/data/definitions/1431.html)
6. [CWE-1428: CWE - Reliance on HTTP instead of HTTPS (4.20)](https://cwe.mitre.org/data/definitions/1428.html)
7. [CWE-1429: CWE - Missing Security-Relevant Feedback for Unexecuted Operations in Hardware Interface (4.20)](https://cwe.mitre.org/data/definitions/1429.html)
8. [CWE-1427: CWE - Improper Neutralization of Input Used for LLM Prompting (4.20)](https://cwe.mitre.org/data/definitions/1427.html)
9. [CWE-79: CWE - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (4.20)](https://cwe.mitre.org/data/definitions/79.html)

References

  • Related reference: https://www.cve.org/CVERecord?id=CVE-2026-4983
Buscar
Categorías
Leer más
Arte
Inteligencia Artificial: Jürgen Schmidhuber's Groundbreaking Lecture on the Future of AI
Discover the visionary insights shared by Jürgen Schmidhuber in this captivating lecture,...
Por Mario Serrano 2026-07-05 02:03:58 0 3
Arte
Seedance 2.5: Impulsando una Nueva Era en Videoconferencias con IA
Introducción La tecnología de comunicación ha experimentado un cambio significativo gracias a la...
Por Mario Serrano 2026-07-04 07:36:04 0 2
Ciberseguridad
Titel (i dansk)
Titel (i dansk)Sammendrag (i dansk)CVE-2026-4983 er en sikkerhedsvilkårlighedsfejl, der kan lede...
Por Mario Serrano 2026-06-30 18:15:54 0 2K
Arte
Transformadores en la IA: ¿Por qué Google no los adoptó antes?
*Descubre cómo las arquitecturas de transformadores revolucionaron el campo de la inteligencia...
Por Mario Serrano 2026-07-04 12:52:13 0 3
Arte
"Estados Unidos autoriza el uso de Mythos 5 para empresas seleccionadas: ¿Qué implica esta innovación en IA?"
¿Cuáles son las implicaciones del permiso para el uso de Mythos 5 por parte de las empresas...
Por Mario Serrano 2026-07-04 16:08:28 0 5