Sicherheitslücke CVE-2018-6341 in React, Vue und Preact geschlossen

React 16.x, Vue und Preact: Serverseitige XSS-Sicherheitslücke geschlossen
Keine Kommentare

Eine Sicherheitslücke bei serverseitig gerenderten Apps, die gleich drei große Frontend-Libraries betraf: Anwender von React 16, Preact und Vue sollten die neusten Patch-Updates einspielen.

Die nun geschlossene XSS-Sicherheitslücke wird zwar als eher klein eingeschätzt, zieht dafür aber umso größere Kreise: Betroffen sind nicht nur alle Versionen von React 16, sondern auch Vue und Preact. Wer serverseitig gerenderte Apps mit diesen Frameworks erstellt, sollte also die nun veröffentlichten Patch-Updates einspielen. Die Patch-Releases wurden zeitlich koordiniert am gestrigen Tag veröffentlicht.

React 16.x: Sicherheitslücke geschlossen

Dan Abramov erläutert im React Blog, dass sehr spezifische Bedingungen erfüllt sein müssen, damit Anwendungen über die XSS-Schwachstelle angegriffen werden können. Die Sicherheitslücke betreffe im Fall von React nur Anwendungen, die HTML mit dem ReactDOMServer API rendern und zusätzlich Attribut-Namen in HTML-Tags enthalten, die von Nutzern eingegeben wurden. Letzteres stellt das allgemeine Muster der Schwachstelle dar, das auch in anderen Anwendungen gefunden wurde. Das Pattern wird im React-Blog mit folgendem Code-Beispiel beschrieben:

let props = {};
props[userProvidedData] = "hello";
let element = <div {...props} />;
let html = ReactDOMServer.renderToString(element);

Mit einem entsprechend ausgerichteten Attributnamen könne so eine XSS-Attacke erfolgen, durch die eigenes Markup eingeschleust werden kann. Versionen von React vor v16 sowie die nun verfügbaren Updates übergehen Eingaben von ungültigen Namen, sodass der Angriff nicht möglich ist.

Für React wurden einzelne Patch-Updates für alle Minor-Versionen ab 16.0 veröffentlicht. So soll der Updateprozess erleichtert werden, da kein Versionssprung auf eines der Minor Releases nötig ist. Dem entsprechenden Blogpost von Dan Abramov können alle Versionsnummern und weitere Informationen zur Schwachstelle entnommen werden.

XSS-Schwachstelle auch in Vue.js und Preact behoben

In Vue.js tritt die Sicherheitslücke laut Release Notes zu Vue 2.5.17 im Kontext von v-bind auf. Bei Preact wurde die Sicherheitslücke in Version 3.7.2 geschlossen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -