ADVERTENCIA: UNA VULNERABILIDAD CRÍTICA ESTÁ AFECTANDO A LAS EXPRESIONES ANGULARES
Software afectado:
Expresiones angulares anteriores a la versión 1.4.3
Tipo:
Ejecución de código arbitrario
CVE/CVSS:
CVE-2024-54152 / CVSS: 9.8 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Fuentes
https://github.com/peerigon/angular-expressions/security/advisories/GHSA-5462-4vcx-jh7j
Riesgos
Angular se utiliza ampliamente como pilar para el desarrollo web front-end en todo el mundo.
Angular Expressions proporciona expresiones para el marco web Angular.JS como un módulo independiente.
La vulnerabilidad actual tiene un ALTO impacto en la Confidencialidad, Integridad y Disponibilidad. Por lo tanto, un atacante que aproveche esta vulnerabilidad puede afectar en gran medida a un sistema.
Descripción
CVE-2024-54152 permite a un atacante escribir una expresión maliciosa que escapa del entorno limitado para ejecutar código arbitrario en el sistema subyacente.
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para el software vulnerable mencionado en el presente aviso.
Solución alternativa
Son posibles dos soluciones alternativas:
- Deshabilitar el acceso a la función «_proto_» de forma global.
- Asegúrese de utilizar la función con un solo argumento.
Monitorear/Detectar
La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar una incidencia a través de: https://ccb.belgium.be/en/cert/report-incident
Si bien aplicar parches a los dispositivos o al software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no soluciona el compromiso histórico.
Referencias