検出

ポリフィルの検出

high Web App Scanning プラグイン ID 114357

Language:

概要

ポリフィルの検出

説明

「polyfill.js」ファイルは、JavaScript コードを評価する際に古いブラウザとの互換性を確保するための一般的なオープンソースライブラリです。2024 年 2 月より、ドメイン「polyfill.io」および関連する GitHub アカウントは、少なくとも「cdn.polyfill.io」ドメインに依存するすべてのウェブアプリケーションにマルウェアを注入しようとする、悪意のある脅威の攻撃者によって購入されています。悪意のあるコードが他の CDN で再配布、またはさまざまなプラグインでローカルにコピーされた可能性があるため、「polyfill.js」ファイルは信頼できなくなりました。

ソリューション

ウェブアプリケーションに埋め込まれているファイルが検出された場合はこれを直ちに削除し、信頼できない外部ソースからスクリプトが読み込まれないようにします。すでに一部のベンダーは、悪意のある「polyfill.io」ドメインを使用するコンテンツを書き換える、あるいはライブラリの安全なバージョンを提供するという緩和策をいくつか導入しています。

参考資料

https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet

https://community.fastly.com/t/new-options-for-polyfill-io-users/2540

https://sansec.io/research/polyfill-supply-chain-attack

プラグインの詳細

深刻度: High

ID: 114357

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2024/6/28

更新日: 2024/6/28

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

基本値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS スコアのソース: CVE-2024-38526

CVSS v3

リスクファクター: High

基本値: 7.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L

CVSS スコアのソース: CVE-2024-38526

参照情報

CVE: CVE-2024-38526