Tempo aproximado para leitura: 00:01:00min
Dúvida
Fizemos um teste se segurança no Fluig e no relatório do Pentest informou que a versão JS Bootstrap é uma versão com vulnerabilidade. Vulnerabilidade identificada sob o código CVE-2019-8331. No relatório nos recomendaram atualizar a versão para 4.0 ou superior.
Ambiente
TOTVS Fluig Plataforma - DES - Todas as versões
Solução
Fomos capazes de identificar uma discrepância na análise da vulnerabilidade que foi relatada. A vulnerabilidade identificada sob o código CVE-2019-8331 foi corrigida na versão 3.4.1 do Bootstrap, conforme evidenciado nos links abaixo: https://www.cvedetails.com/cve/CVE-2019-8331/ e https://security.snyk.io/vuln/SNYK-JS-BOOTSTRAP-173700. Em versões anteriores a 3.4.1 ou entre as versões 4.3.x e 4.3.1, existe a possibilidade de ocorrência de XSS no atributo tooltip ou popover data-template, essas já foram corrigidas nas versões 1.8.1-230829 e 1.8.0-230829 liberadas hoje.
A questão reside em um equívoco de detecção nos casos de testes de Pentest, nos quais, ao invés de se verificar se a versão do Bootstrap é igual ou anterior à 3.4.0 (versões que ocorrem o incidente), estão sendo consideradas todas as versões dentro da gama 3.4.X, como detalhado em https://github.com/zaproxy/zaproxy/issues/6818.
Desejamos enfatizar que atualmente a biblioteca foi integrada ao nosso projeto, o que implicou em personalizações específicas. Como resultado, essa integração é tratada como um aspecto particular e já não guarda vínculo direto com a biblioteca oficial. Devido a essas razões, estamos denominando-a como 3.4.1-FLUIG.
0 Comentários