BDU:2024-08024
Cure53, ООО «Ред Софт» DOMPurify, РЕД ОС
2024-10-11
Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify связана с недостатками проверки входных данных, содержащих признаки XSS-атаки. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование систем обнаружения вторжений для противодействия XSS-атакам; - использование средств межсетевого экранирования уровня веб-приложений; - использование проверки входных данных по «белым спискам».
Использование рекомендаций: https://github.com/cure53/DOMPurify https://github.com/cure53/DOMPurify/security/advisories/GHSA-gx9m-whjm-85jf
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/