Fecha: 11/11/2020
A modo de contextualizar la descripción de la vulnerabilidad, una breve definición de:
¿Qué pasó?
Investigadores de seguridad han descubierto recientemente una vulnerabilidad identificada con el CVE-2020-7750 de riesgo crítico (calificación de riesgo 9.6), que afecta al paquete de Node.js llamado scratch-svg-renderer en versiones anteriores a la 0.2.0-prerelease.20201016121710. La explotación exitosa de este fallo permitiría a un atacante remoto inyectar código malicioso.
El fallo en cuestión, reside en la función loadString y se da debido a que esta no escapa correctamente los archivos SVG. Un atacante remoto podría aprovechar esto para inyectar elementos arbitrarios en el DOM (Modelo de Objetos del Documento) a través de la función “_transformMeasurements”. A continuación se puede visualizar la porción de código vulnerable con los cambios realizados en el parche de seguridad:
Recomendaciones:
Referencias: