Una vulnerabilidad en VUE.JS expuso a más de un millón de desarrolladores.

El personal a cargo del mantenimiento de VUE.JS dieron a conocer la corrección de una muy peligrosa vulnerabilidad de XSS.

VUE.JSS es un marco de trabajo que posee aproximadamente a más de un millón de usuarios en la comunidad de desarrollo de software. El anuncio de que se encontró una vulnerabilidad del tipo XSS en la extensión del navegador de Chrome fue muy alarmante, ya que una vulnerabilidad de este tipo permite el acceso de introducir códigos JavaScript en páginas web por un usuario a terceras personas.

El descubridor de esta falla fue el investigador Jiantao Lin de la firma de Starlabs con sede en Singapur. Al principio, Jiantao intento notificar privadamente a los encargados de VUE.JS, pero intento probar desde otro ángulo al no recibir respuesta alguna publicando un informe sobre dicha vulnerabilidad y pruebas de concepto (PoC) en un repositorio de GitHub.

Hecho esto pudo captar la atención de la comunidad de Ciberseguridad, y unas horas transcurridas la vulnerabilidad detectada ya había sido reparada.

Starlabs añadió más detalles de la vulnerabilidad citando lo siguiente: ¨En devtools-background.js, hay una inyección de código en la función toast; esta condición podría activarse mediante postMessage desde cualquier pestaña, derivando en una condición XSS universal al abrir las herramientas de desarrollo del navegador. ¨ Por lo visto, un actor de riesgos podría alojar un sitio web principalmente creado para dicha vulnerabilidad, para así poder engañar al usuario haciéndolo que entre al sitio web y se desplieguen las herramientas de desarrollo en otras pestañas de Chrome.

El investigador Jiantao Lin comentó: ¨Esta es una falla de inyección de código en una popular extensión de navegador web; la vulnerabilidad existe debido a que los datos no verificados se ejecutan como código. ¨ también añadió sobre el cómo se abusaría de ello: ¨El UXSS permitirá a los hackers maliciosos ejecutar JavaScript de un dominio a cualquier otro dominio si se explota con éxito. ¨

Afortunadamente esta falla se pudo arreglar, y no paso algo que se lamentara. Pero sin duda alguna, los desarrolladores de VUE.JS deben de estar más atentos de las peticiones, solicitudes e información que se les hace llegar por un medio más privado para evitar este tipo de situaciones.

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

mimi
Soy de ciudad Acuña Coahuila, estudio Ingeniería Mecatrónica en el Instituto Tecnologico Superior de Acuña, bailarina en la compañia de danza folklorica Yumari, voluntaria en el departamento de Juventud en la Cruz Roja Mexicana de mi ciudad y una amante de la tecnología. Anything is possible.

Últimos artículos

a

Publicasciones relaciodadas