CVE-2024-33665

사이트 간 스크립팅
영향
각도 번역
>=2.19.1
in
AngularJS
패치 사용 가능
이 취약점은 HeroDevs에서 제공하는 네버엔딩 지원(NES) 버전에서 수정되었습니다.

↪cf_200D↩복제 단계:

이 취약점은 입력 필드에 악성 코드를 삽입한 다음 translate 지시어로 처리하여 트리거할 수 있습니다. 이 익스플로잇을 시연하는 개념 증명은 다음에서 확인할 수 있습니다. StackBlitz에서 개념 증명을 통해 악성 스크립트를 시스템에 도입하는 방법을 확인할 수 있습니다.

문제 해결:

앵귤러JS의 앵귤러 번역이 수명을 다했음에도 불구하고 히어로데브스는 이 취약점을 해결하기 위해 중요한 패치를 제공하기로 결정했습니다. 이 패치는 입력 키를 적절하게 살균하여 이 벡터를 통한 XSS 공격의 가능성을 차단합니다.

AngularJS 에센셜 네버엔딩 지원을 결제하는 HeroDevs 고객은 최신 NES 버전의 angular-translate(angularjs-essentials@1.8.3-angular-translate-2.20.1)에서 이 문제를 수정했습니다. 아직 최신 버전을 설치하지 않았거나 도움이 필요한 경우 지원팀에 문의하여 도움을 받으세요.

다른 모든 Angular-translate 사용자의 경우, Angular-translate에서 빠르게 마이그레이션하는 것을 고려해 보세요. 또는 문의하여 안전한 AngularJS 업데이트 에 대해 알아보세요.

학습 및 예방:

커뮤니티를 더욱 지원하기 위해 히어로 개발팀은 향후 유사한 취약점을 예방하기 위한 자세한 지침을 제공합니다. 주요 전략에는 데이터 입력, 특히 번역 지시어와 같은 중요한 구성 요소와 상호 작용하는 데이터 입력을 위생 처리하는 것이 포함됩니다. 또한 타사 라이브러리를 정기적으로 검토하고 업데이트하여 잠재적인 보안 결함이 악용되기 전에 이를 발견하고 해결하는 것이 좋습니다.

결론:

CVE-2024-33665는 소프트웨어의 수명이 다한 후에도 유지 관리와 보안의 중요성을 일깨워주는 역할을 합니다. 선제적인 조치와 커뮤니티 지원을 통해 모든 사용자에게 더 안전한 디지털 환경을 제공할 수 있습니다.

다음에 대한 보안, 규정 준수 및 호환성 지원을 받고자 하는 경우 AngularJS 및 지원 라이브러리에 대한 보안, 규정 준수 및 호환성 지원을 받고 싶으시면 Angular에 대해 문의해 주세요.

히어로데브의 최신 패치를 통해 시스템을 안전하게 보호하고 업데이트하세요. 더 많은 인사이트와 보안 업데이트를 확인하려면 블로그를 계속 팔로우하세요.

리소스:

Angular 번역 NPM 패키지: npmjs.com/package/angular-translate

깃허브 리포지토리: github.com/angular-translate/angular-translate

보안 이슈 리포트: 깃허브닷컴/각형-번역/각형-번역/이슈/1418