Plus de 60 cas d’une faille de sécurité Web dans la bibliothèque Swagger-UI pouvant conduire à une prise de contrôle de compte ont été signalés aux organisations concernées.
Programmes de primes de bugs gérés par Pay Pal, ShopifyAtlassian, Microsoft, GitLabet Yahoo ont été notifiés, entre autres.
Logiciel SmartBear Swagger-UI est une suite open source d’API et d’outils de développement pour visualiser et interagir avec les API et leurs ressources. L’interface utilisateur est sans dépendance, fonctionne dans tous les principaux navigateurs et est générée automatiquement avec la prise en charge de Swagger 2.0 et OAS 3.0.
VOUS POURRIEZ AUSSI AIMER Les attaques actives contre les failles VMware incitent à une directive de mise à jour d’urgence
Dawid Moczadło, co-fondateur de Vidoc Security Lab, a publié un conseil en sécurité le 16 mai, documentant une vulnérabilité de script intersite (XSS) DOM dans la bibliothèque, qui, selon le chercheur, a conduit à « beaucoup d’instances vulnérables ».
Cause première
La cause principale de la faille est l’utilisation par Swagger-UI d’une version obsolète de DomPurify, une bibliothèque de nettoyage XML pour HTML, MathML et SVG.
Swagger-UI permet aux utilisateurs de fournir une URL pour une spécification d’API, telle qu’un fichier YAML ou JSON. Pour les afficher et les afficher, vous ajoutez un paramètre de requête. Il serait possible de déclencher une attaque XSS en chargeant un fichier de spécification malveillant et en accédant à la fonction React à ce stade, mais un attaquant devrait contourner le désinfectant.
Le chercheur a pu visiter les pages de publication de DOMPurify et rechercher un contournement approprié. Cependant, la charge utile qu’il a trouvée nécessaire