Titulár (v Slovak) (Slovak)

0
16

Titulár (v Slovak)

Významná správa (v Slovak)

Co je o výpadku/výpadeku

Open VSX Registry nepravilne sanitizuje SVG súbory nahraté ako ikonky rozšírení pred uložením a ich poskytuje s Content-Type: image/svg+xml bez bezpečnostných hlavičiek ako napríklad Content-Security-Policy alebo Content-Disposition: attachment. Toto umožňuje útoku na publikovanie rozšírenia so malými SVG ikonami a dosiahnutie uloženej cross-site scripting (XSS) ak používateľ naviguje priamo na URL ikony.

Na nasadeniach s lokálnym uložením sa vykonáva skriptovanie v origináli aplikácie Open VSX, čo umožňuje hijackovanie relácií session, prístup k autentickým tokom a neautorizovanému publikovaniu rozšírení. Na nasadeniach s externým uložením (napríklad open-vsx.org s CDN S3), vykonáva sa skriptovanie na úrovni originála uloženia, zmenšujúc úpomínku o dôjalu ale stále umožňujúc phishing a uchovávanie hesiel pomocou stránok vytvorených útokučníkom.

Bezpečný školený kód

// Ukázka bezpečného skriptu na kontrolu SVG ikon
function sanitizeSVG(svg) {
    const parser = new DOMParser();
    try {
        const doc = parser.parseFromString(svg, 'image/svg+xml');
        // Kontrola všetkých elementov SVG a ich atribútov
        for (const elem of doc.documentElement.querySelectorAll('*')) {
            if (elem.tagName === 'script' || elem.tagName === 'style') {
                console.error('Detected potentially malicious script or style tag in SVG.');
                return null; // Nezachraňujte nebezpečný SVG
            }
        }
        return svg;
    } catch (error) {
        console.error('Error parsing SVG:', error);
        return null; // Nezachraňujte nesprávny SVG
    }
}

// Príklad použitia funkcie
const maliciousSVG = '<svg><script>alert("XSS")</script></svg>';
const safeSVG = sanitizeSVG(maliciousSVG);

if (safeSVG) {
    console.log('Safe SVG:', safeSVG);
} else {
    console.log('Unsafe SVG detected.');
}

**Riziko:** Všetky skripty a style elementy sa kontrolujú pri nahrávaní SVG ikon. Ak je detekovaný nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Kontrola prenutia

1. **Kontrola všetkých elementov SVG:** Skript kontroluje všetky elementy SVG a ich atribúty.
2. **Zakazanie skriptov a style elementov:** Ak sa detekuje nebezpečný script alebo style element, skript sa neprepisuje a nezachraňuje.

Reference

1. [CVE-2026-4983 - Detalí CVSS, EPSS a CISA Kev | CVE Find](https://www.cvefind.com/es/cve/CVE-2026-4983.html)
2. [Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/data/definitions/)
3. [NVD - CVE-2026-4983](https://nvd.nist.gov/vuln/detail/CVE-2026-4983)
4. [CWE-1434: CWE - Insecure Setting of Generative AI/ML Model Inference Parameters (4.20)](https://cwe.mitre.org/data/definitions/1434.html)
5. [CWE-1431: CWE - Driving Intermediate Cryptographic State/Results to Hardware Module Outputs (4.20)](https://cwe.mitre.org/data/definitions/1431.html)
6. [CWE-1428: CWE - Reliance on HTTP instead of HTTPS (4.20)](https://cwe.mitre.org/data/definitions/1428.html)
7. [CWE-1429: CWE - Missing Security-Relevant Feedback for Unexecuted Operations in Hardware Interface (4.20)](https://cwe.mitre.org/data/definitions/1429.html)
8. [CWE-1427: CWE - Improper Neutralization of Input Used for LLM Prompting (4.20)](https://cwe.mitre.org/data/definitions/1427.html)
9. [CWE-79: CWE - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (4.20)](https://cwe.mitre.org/data/definitions/79.html)

References

  • Related reference: https://www.cve.org/CVERecord?id=CVE-2026-4983
Pesquisar
Categorias
Leia mais
Art
Explicación detallada del Cloud Computing: Acceso a archivos y sistemas operativos sin problemas
Descubre cómo el cloud computing te permite trabajar y acceder a tus archivos desde cualquier...
Por Mario Serrano 2026-07-06 03:07:11 0 6
Art
Corea del Sur invierte miles de millones en Inteligencia Artificial: Un futuro transformador
*Descubre cómo Corea del Sur se posiciona a la vanguardia global con una inversión masiva en IA y...
Por Mario Serrano 2026-07-04 16:41:50 0 1
Art
Title: "OpenAI's ChatGPT: Revolutionizing AI and Its Impact on Technology" (69 characters)
Meta Description: Discover how OpenAI's ChatGPT is transforming the tech landscape, pushing...
Por Mario Serrano 2026-07-05 00:01:37 0 22
Art
¿Por qué Google no aprovechó antes los Transformers? La revolución de la inteligencia artificial
Explora el impacto de los Transformers en el campo de la inteligencia artificial y cómo Google...
Por Mario Serrano 2026-07-05 00:47:25 0 3
Art
El Superciclo Tecnológico: La Inteligencia Artificial Adelantando el Nuevo Edén (Gustavo Entrala #LFDE)
¿Qué esperar con la llegada del Superciclo Tecnológico? En el video "El superciclo tecnológico:...
Por Mario Serrano 2026-07-04 06:52:56 0 1