Bootstrap verhelpt XSS kwetsbaarheid in versies 4.3.1 en 3.4.1

bootstrap xss kwetsbaarheid

Bootstrap heeft versies 4.3.1 en 3.4.1 uitgerold om een XSS kwetsbaarheid (CVE-2019-8331) te patchen. De kwetsbaarheid werd door een ontwikkelaar gerapporteerd aan het Bootstrap Drupal project en vervolgens gemeld bij het Bootstrap ontwikkelingsteam, die ermee aan de slag gingen.

XSS kwetsbaarheid

De XSS kwetsbaarheid waar het om gaat heeft invloed op het gebruik van de tooltip en popover features:

“Eerder deze week rapporteerde een ontwikkelaar een XSS probleem, lijkend op de data-target kwetsbaarheid die werd verholpen in v4.1.2 en v3.4.0: het data-template attribuut voor onze tooltip en popover plugins bevatten niet de benodigde XSS sanitization van de HTML die aan de waarde van het attribuut kan worden toegevoegd.”

Patch

De patch bevat een nieuwe JavaScript sanitizer die alleen whitelisted HTML elementen in het data-attribuut toestaat. Ontwikkelaars kunnen de sanitization implementatie van Bootstrap aanpassen of hun eigen functie customizen. In aanvulling op het patchen van de XSS kwetsbaarheid heeft Bootstrap ook nieuwe sanitizer documentatie voor versies 4.3 en 3.4 gepubliceerd.

Bootstrap plugins

Volgens data van BuiltWith wordt Bootstrap (een verzameling van gratis en open source hulpmiddelen voor web-based toepassingen) door ongeveer 16% van het internet gebruikt. Daarnaast wordt het ook veelvuldig toegepast in WordPress plugins en thema’s. Zo staan er alleen al honderden plugins op WordPress.org die op de een of andere manier Bootstrap implementeren. Veel van deze plugins zijn echter al maanden niet geüpdatet. Het is lastig vast te stellen welke plugins wel en niet door de XSS kwetsbaarheid beïnvloed worden, omdat dit afhankelijk is van hoe de plugin auteur Bootstrap heeft geïmplementeerd. In sommige gevallen hangt het ook af van wat de gebruikers als output instellen aan de front-end. Heb je op je WordPress website een plugin actief dat gebruik maakt van Bootstrap? Dan is het misschien de moeite waard om contact op te nemen met de auteur van de plugin om te bekijken of een security update nodig is.

 

Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden

 

Geef een reactie