Titulár (v Slovak) (Slovak)

0
12

Titulár (v Slovak)

Významná správa (v Slovak)

Co je o výpadku/výpadeku

Open VSX Registry nepravilne sanitizuje SVG súbory nahraté ako ikonky rozšírení pred uložením a ich poskytuje s Content-Type: image/svg+xml bez bezpečnostných hlavičiek ako napríklad Content-Security-Policy alebo Content-Disposition: attachment. Toto umožňuje útoku na publikovanie rozšírenia so malými SVG ikonami a dosiahnutie uloženej cross-site scripting (XSS) ak používateľ naviguje priamo na URL ikony.

Na nasadeniach s lokálnym uložením sa vykonáva skriptovanie v origináli aplikácie Open VSX, čo umožňuje hijackovanie relácií session, prístup k autentickým tokom a neautorizovanému publikovaniu rozšírení. Na nasadeniach s externým uložením (napríklad open-vsx.org s CDN S3), vykonáva sa skriptovanie na úrovni originála uloženia, zmenšujúc úpomínku o dôjalu ale stále umožňujúc phishing a uchovávanie hesiel pomocou stránok vytvorených útokučníkom.

Bezpečný školený kód

// Ukázka bezpečného skriptu na kontrolu SVG ikon
function sanitizeSVG(svg) {
    const parser = new DOMParser();
    try {
        const doc = parser.parseFromString(svg, 'image/svg+xml');
        // Kontrola všetkých elementov SVG a ich atribútov
        for (const elem of doc.documentElement.querySelectorAll('*')) {
            if (elem.tagName === 'script' || elem.tagName === 'style') {
                console.error('Detected potentially malicious script or style tag in SVG.');
                return null; // Nezachraňujte nebezpečný SVG
            }
        }
        return svg;
    } catch (error) {
        console.error('Error parsing SVG:', error);
        return null; // Nezachraňujte nesprávny SVG
    }
}

// Príklad použitia funkcie
const maliciousSVG = '<svg><script>alert("XSS")</script></svg>';
const safeSVG = sanitizeSVG(maliciousSVG);

if (safeSVG) {
    console.log('Safe SVG:', safeSVG);
} else {
    console.log('Unsafe SVG detected.');
}

**Riziko:** Všetky skripty a style elementy sa kontrolujú pri nahrávaní SVG ikon. Ak je detekovaný nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Kontrola prenutia

1. **Kontrola všetkých elementov SVG:** Skript kontroluje všetky elementy SVG a ich atribúty.
2. **Zakazanie skriptov a style elementov:** Ak sa detekuje nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Reference

1. [CVE-2026-4983 - Detalí CVSS, EPSS a CISA Kev | CVE Find](https://www.cvefind.com/es/cve/CVE-2026-4983.html)
2. [Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/data/definitions/)
3. [NVD - CVE-2026-4983](https://nvd.nist.gov/vuln/detail/CVE-2026-4983)
4. [CWE-1434: CWE - Insecure Setting of Generative AI/ML Model Inference Parameters (4.20)](https://cwe.mitre.org/data/definitions/1434.html)
5. [CWE-1431: CWE - Driving Intermediate Cryptographic State/Results to Hardware Module Outputs (4.20)](https://cwe.mitre.org/data/definitions/1431.html)
6. [CWE-1428: CWE - Reliance on HTTP instead of HTTPS (4.20)](https://cwe.mitre.org/data/definitions/1428.html)
7. [CWE-1429: CWE - Missing Security-Relevant Feedback for Unexecuted Operations in Hardware Interface (4.20)](https://cwe.mitre.org/data/definitions/1429.html)
8. [CWE-1427: CWE - Improper Neutralization of Input Used for LLM Prompting (4.20)](https://cwe.mitre.org/data/definitions/1427.html)
9. [CWE-79: CWE - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (4.20)](https://cwe.mitre.org/data/definitions/79.html)

References

  • Related reference: https://www.cve.org/CVERecord?id=CVE-2026-4983
Buscar
Categorías
Leer más
Arte
"Inmersión en el mundo de InfoJobs: Descubriendo la Inteligencia Artificial en el Podcast"
Introducción a la Inteligencia Artificial y sus Aplicaciones en el Mercado Laboral El podcast...
Por Mario Serrano 2026-07-05 01:26:30 0 2
Arte
Google Transformers: Un Nuevo Alfilado en Inteligencia Artificial (79 caracteres)
**Descubre cómo Google está revolucionando el aprendizaje profundo con sus Transformers (159...
Por Mario Serrano 2026-07-04 11:09:02 0 2
Arte
InfoJobs: Descubre el Podcast Inside: Un Nuevo Horizonte en Tecnología e Inteligencia Artificial
¿Qué ofrece este podcast único? El podcast 'InfoJobs: vive una grabación del podcast desde...
Por Mario Serrano 2026-07-04 20:58:07 0 4
Arte
Norway Bans AI in Primary Education: Implications and Considerations
*Discover the implications of Norway's groundbreaking decision to ban AI in primary education,...
Por Mario Serrano 2026-07-04 09:58:00 0 1
Arte
La Revolución del Trabajo: Explorando las Prácticas de Google en Inteligencia Artificial y Tecnología
Introducción Descubre cómo Google está transformando la vida y cultura del trabajo a través de la...
Por Mario Serrano 2026-07-04 21:50:54 0 2