报告了数十个包含数百个积压的错误
据报道,已有60多个在Swagger-UI图书馆中有60beplay体育能用吗多个网络安全漏洞导致收购的账户。
漏洞赏金程序由贝宝,,,,购物,Microsoft Atlassian,GitLab和雅虎收到了通知。
SmartBear软件Swagger-ui是API和开发工具的开源套件,可视化和与API及其资源进行交互。UI无依赖项,可在所有主要浏览器中工作,并自动生成,并支持Swagger 2.0和OAS 3.0。
你可能还喜欢对VMware缺陷的主动攻击提示紧急更新指令
Vidoc Security Lab的联合创始人DawidMoczadło出版了安全咨询5月16日,记录了图书馆中的DOM跨站点脚本(XSS)漏洞,研究人员说,这导致了“很多脆弱的实例”。
根本原因
缺陷的根本原因是Swagger-UI使用过时的版本dompurify,用于HTML,MathML和SVG的XML消毒库。
Swagger-UI允许用户为API规范提供URL,例如YAML或JSON文件。要查看和渲染它们,您添加了一个查询参数。可以通过加载恶意规范文件并访问React功能来触发XSS攻击,但是攻击者必须绕过消毒剂。
研究人员能够访问Dompurify发行页面并寻找合适的旁路。但是,他发现的有效载荷需要<样式>标签 - Swagger UI的功能明确禁止其部署。
“我们需要一个有效载荷,该有效载荷将绕过Dompurify Sanitization但不能包含<样式>标签,”Moczadło评论说。“最简单的方法是找到另一个将与<样式>在旁路中。”
Moczadło能够迅速做到这一点并创建一个工作的利用。
研究人员告诉每日swbeplay2018官网ig漏洞允许在受害者的上下文中执行JS代码浏览器,在许多情况下,该团队能够升级该缺陷以说明收购。
Moczadło测试了Swagger UI版本3.37.2,使用Dompurify版本2.2.2。从3.14.1到3.38的版本受XS的影响。
如果使用了脆弱的Swagger UI版本,研究人员建议用户更新其构建。版本4.11.1是最新版本。如果整个软件包无法更新,则仅更新Dompurify软件包就足够了。
安全研究人员说,该脆弱性是在2021年初固定的,但仍然可以得到广泛利用。
棘手的分类
这更常见漏洞在公开披露之前要悄悄地报道,但莫卡德罗说,“积压库中还有200个虫子要报告”。
结果,该团队表示,它通常没有进一步升级漏洞,因为“我们有太多的错误报道,而时间太少”。
Moczadło补充说:“公司的反应良好,所有人都接受了该问题并迟早解决了问题。该错误在整个公司中非常受欢迎,以至于我们无法报告我们发现的所有案例[...]我们只报告了在主要域或用于身份验证的主要域或子域中发现该错误的最严重案例。”
Gitlab告诉每日swbeplay2018官网ig该漏洞是在GitLab 13.9.2中修复的,该组织建议所有用户尽快升级到最新版本。
微软发言人说:“我们知道这份报告并正在调查。”
每日swbeplay2018官网ig还与报告中提到的研究人员和其他组织联系。如果和何时回音,我们将更新这个故事。