CVE-2024-45803

Wire UI is a library of components and resources to empower Laravel and Livewire application development. A potential Cross-Site Scripting (XSS) vulnerability has been identified in the `/wireui/button` endpoint, specifically through the `label` query parameter. Malicious actors could exploit this vulnerability by injecting JavaScript into the `label` parameter, leading to the execution of arbitrary code in the victim's browser. The `/wireui/button` endpoint dynamically renders button labels based on user-provided input via the `label` query parameter. Due to insufficient sanitization or escaping of this input, an attacker can inject malicious JavaScript. By crafting such a request, an attacker can inject arbitrary code that will be executed by the browser when the endpoint is accessed. If exploited, this vulnerability could allow an attacker to execute arbitrary JavaScript code in the context of the affected website. This could lead to: **Session Hijacking**: Stealing session cookies, tokens, or other sensitive information. **User Impersonation**: Performing unauthorized actions on behalf of authenticated users. **Phishing**: Redirecting users to malicious websites. **Content Manipulation**: Altering the appearance or behavior of the affected page to mislead users or execute further attacks. The severity of this vulnerability depends on the context of where the affected component is used, but in all cases, it poses a significant risk to user security. This issue has been addressed in release versions 1.19.3 and 2.1.3. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:wireui:wireui:*:*:*:*:*:*:*:*
cpe:2.3:a:wireui:wireui:*:*:*:*:*:*:*:*

History

07 Oct 2024, 17:05

Type Values Removed Values Added
First Time Wireui
Wireui wireui
CPE cpe:2.3:a:wireui:wireui:*:*:*:*:*:*:*:*
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 6.1
References () https://github.com/wireui/wireui/commit/784c4f110e58eb41d0f2bdecd4655ea417f16e7e - () https://github.com/wireui/wireui/commit/784c4f110e58eb41d0f2bdecd4655ea417f16e7e - Patch
References () https://github.com/wireui/wireui/commit/a457654912055f4dcc559da04d4e319f76b80fc5 - () https://github.com/wireui/wireui/commit/a457654912055f4dcc559da04d4e319f76b80fc5 - Patch
References () https://github.com/wireui/wireui/security/advisories/GHSA-rw5h-g8xq-6877 - () https://github.com/wireui/wireui/security/advisories/GHSA-rw5h-g8xq-6877 - Third Party Advisory

20 Sep 2024, 12:30

Type Values Removed Values Added
Summary
  • (es) Wire UI es una librería de componentes y recursos para potenciar el desarrollo de aplicaciones Laravel y Livewire. Se ha identificado una posible vulnerabilidad de Cross-Site Scripting (XSS) en el endpoint `/wireui/button`, específicamente a través del parámetro de consulta `label`. Los actores maliciosos podrían explotar esta vulnerabilidad inyectando JavaScript en el parámetro `label`, lo que lleva a la ejecución de código arbitrario en el navegador de la víctima. El endpoint `/wireui/button` representa dinámicamente las etiquetas de los botones en función de la entrada proporcionada por el usuario a través del parámetro de consulta `label`. Debido a la desinfección o el escape insuficiente de esta entrada, un atacante puede inyectar JavaScript malicioso. Al crear una solicitud de este tipo, un atacante puede inyectar código arbitrario que será ejecutado por el navegador cuando se acceda al endpoint. Si se explota, esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario en el contexto del sitio web afectado. Esto podría conducir a: **Secuestro de sesión**: Robo de cookies de sesión, tokens u otra información confidencial. **Suplantación de identidad de usuario**: realizar acciones no autorizadas en nombre de usuarios autenticados. **Phishing**: redireccionar a los usuarios a sitios web maliciosos. **Manipulación de contenido**: alterar la apariencia o el comportamiento de la página afectada para engañar a los usuarios o ejecutar más ataques. La gravedad de esta vulnerabilidad depende del contexto en el que se utiliza el componente afectado, pero en todos los casos supone un riesgo importante para la seguridad del usuario. Este problema se ha solucionado en las versiones 1.19.3 y 2.1.3. Se recomienda a los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.

17 Sep 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-17 19:15

Updated : 2024-10-07 17:05


NVD link : CVE-2024-45803

Mitre link : CVE-2024-45803

CVE.ORG link : CVE-2024-45803


JSON object : View

Products Affected

wireui

  • wireui
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')