El personal a cargo del mantenimiento de VUE.JS dieron a conocer la corrección de una muy peligrosa vulnerabilidad de XSS.
VUE.JSS es un marco de trabajo que posee aproximadamente a más de un millón de usuarios en la comunidad de desarrollo de software. El anuncio de que se encontró una vulnerabilidad del tipo XSS en la extensión del navegador de Chrome fue muy alarmante, ya que una vulnerabilidad de este tipo permite el acceso de introducir códigos JavaScript en páginas web por un usuario a terceras personas.
El descubridor de esta falla fue el investigador Jiantao Lin de la firma de Starlabs con sede en Singapur. Al principio, Jiantao intento notificar privadamente a los encargados de VUE.JS, pero intento probar desde otro ángulo al no recibir respuesta alguna publicando un informe sobre dicha vulnerabilidad y pruebas de concepto (PoC) en un repositorio de GitHub.
Hecho esto pudo captar la atención de la comunidad de Ciberseguridad, y unas horas transcurridas la vulnerabilidad detectada ya había sido reparada.
Starlabs añadió más detalles de la vulnerabilidad citando lo siguiente: ¨En devtools-background.js, hay una inyección de código en la función toast; esta condición podría activarse mediante postMessage desde cualquier pestaña, derivando en una condición XSS universal al abrir las herramientas de desarrollo del navegador. ¨ Por lo visto, un actor de riesgos podría alojar un sitio web principalmente creado para dicha vulnerabilidad, para así poder engañar al usuario haciéndolo que entre al sitio web y se desplieguen las herramientas de desarrollo en otras pestañas de Chrome.
El investigador Jiantao Lin comentó: ¨Esta es una falla de inyección de código en una popular extensión de navegador web; la vulnerabilidad existe debido a que los datos no verificados se ejecutan como código. ¨ también añadió sobre el cómo se abusaría de ello: ¨El UXSS permitirá a los hackers maliciosos ejecutar JavaScript de un dominio a cualquier otro dominio si se explota con éxito. ¨
Afortunadamente esta falla se pudo arreglar, y no paso algo que se lamentara. Pero sin duda alguna, los desarrolladores de VUE.JS deben de estar más atentos de las peticiones, solicitudes e información que se les hace llegar por un medio más privado para evitar este tipo de situaciones.