CVE-2023-26136 impacta en la cookie resistente del producto NPM de código abierto

Salesforce es consciente de que la confidencialidad, la integridad y la disponibilidad de sus datos es vital para su negocio, y nos tomamos muy en serio la protección de sus datos.
 

¿Qué ocurrió?

El 1 de junio de 2023, un investigador de seguridad descubrió una vulnerabilidad de JavaScript que afectaba al proyecto NPM de código abierto y cookies resistentes de Salesforce. Esta vulnerabilidad podía permitir que un actor con fines malintencionados adjuntara datos de cookies a un espacio de nombres global, lo que daba lugar a que las cookies quedaran expuestas a personas con acceso a su código en ejecución. 
 

¿Qué hizo Salesforce para solucionar este problema? 

El 5 de junio, se implementó una solución y se publicó una nota de la versión, disponible aquí, en GitHub. El 29 de junio, se emitió CVE-2023-26136 para abordar esta vulnerabilidad con una puntuación CVSS de 6,5.
 

¿Cómo identifico si estoy afectado?

Para comprobar si utiliza el paquete NPM de cookies resistentes y está potencialmente afectado por esta vulnerabilidad, siga estos pasos:

1. Verifique si la cookie resistente aparece como una dependencia en el archivo package.json de su proyecto. 
2. Si la cookie resistente aparece como una dependencia, compruebe si está usando una CookieJar con la opción "rejectPublicSuffixes" establecida en false y la opción "store" desactivada, o configúrela para utilizar MemoryCookieStore. Si no está implementando estas opciones de configuración, esta vulnerabilidad no le afecta y no necesita tomar ninguna medida. Si está implementando estas opciones de configuración, las cookies almacenadas en esta CookieJar pueden ser accesibles para actores no autorizados con acceso a su código en ejecución.
   1. NOTA: Solo se puede acceder a las cookies expuestas debido a esta vulnerabilidad durante la vida útil de la aplicación en ejecución. Detener o reiniciar la aplicación restablecerá la CookieJar y eliminará todas las conexiones activas al espacio de nombres global.
3. Si su sitio implementa ambas de las opciones de configuración anteriores, siga estos pasos para identificar conexiones potencialmente sospechosas a su espacio de nombres global. 
   1. Conéctese a su instancia en ejecución.
   2. Examine el valor Object.prototype.
      1. Ejemplo: console.log(Object.prototype)
   3. Determine si hay propiedades de Object.prototype que comiencen con "/".
      1. Ejemplo: "/notauth"
   4. Los valores adjuntos a esas propiedades son objetos cuyos valores son cookies.
      1. Ejemplo: {Slonser: Cookie="Slonser=polluted; Domain=__proto__; Path=/notauth; hostOnly=false; aAge= 1ms; cAge= 35443ms"}

Si todo lo anterior no corresponde con su situación, entonces su instancia en ejecución no se ha visto afectada por la vulnerabilidad.
 

Si me veo afectado, ¿qué medidas debo tomar? 

Si comprueba que está afectado por esta vulnerabilidad, para eliminar el posible acceso no autorizado a sus cookies, actualice la cookie resistente a la versión 4.1.3 que está disponible aquí. Como alternativa, puede actualizar su código para asegurarse de que todas las instancias de CookieJar tengan rejectPublicSuffixes establecido en true, o bien use otroalmacenamiento en MemoryCookieStore.
 

¿Qué debo hacer si tengo preguntas?