Impatto di CVE-2023-26136 sul tough-cookie del prodotto NPM open-source

Salesforce è consapevole del fatto che la riservatezza, l'integrità e la disponibilità dei Suoi dati sono di fondamentale importanza per il Suo business, pertanto prendiamo molto sul serio la protezione di questi dati.
 

Cosa è accaduto?

Il 1° giugno 2023, un ricercatore di sicurezza ha scoperto una vulnerabilità JavaScript che riguardava il progetto NPM open-source tough-cookie di Salesforce. Questa vulnerabilità potrebbe consentire a un malintenzionato di allegare i dati dei cookie a uno spazio dei nomi globale, esponendo i cookie a persone che hanno accesso al codice in esecuzione. 
 

Che cosa ha fatto Salesforce per risolvere il problema? 

Il 5 giugno è stata implementata una correzione ed è stata pubblicata una nota di rilascio, disponibile qui, su GitHub. Il 29 giugno è stata rilasciata la versione CVE-2023-26136 per risolvere questa vulnerabilità con un punteggio CVSS di 6.5.
 

Come posso capire se la mia organizzazione è interessata da questa modifica?

Per determinare se si utilizza il pacchetto NPM tough-cookie e se si è potenzialmente interessati da questa vulnerabilità, procedere come descritta di seguito:

1. Verificare se tough-cookie è elencato come dipendenza nel file package.json del progetto. 
2. Se tough-cookie è elencato come dipendenza, verificare se si sta utilizzando un CookieJar con l'opzione “rejectPublicSuffixes” impostata su False e l'opzione “store” (archivio) non impostata o impostata per utilizzare un MemoryCookieStore. Se non si implementano queste opzioni di configurazione, non si è interessati da questa vulnerabilità e non occorre prendere provvedimenti. Se si implementano queste opzioni di configurazione, i cookie memorizzati in questo CookieJar potrebbero essere accessibili a soggetti non autorizzati che hanno accesso al codice in esecuzione.
   1. NOTA: i cookie esposti a causa di questa vulnerabilità sono accessibili solo finché l'applicazione è in esecuzione. L'arresto o il riavvio dell'applicazione resetterà il CookieJar, rimuovendo tutte le connessioni attive allo spazio dei nomi globale.
3. Se il proprio sito implementa entrambe le opzioni di configurazione di cui sopra, procedere come descritto di seguito per identificare connessioni potenzialmente sospette al proprio spazio dei nomi globale. 
   1. Collegarsi alla propria istanza in esecuzione.
   2. Esaminare l'Object.prototype globale.
      1. Esempio: console.log(Object.prototype)
   3. Determinare se ci sono proprietà di Object.prototype che iniziano con “/”.
      1. Esempio: “/notauth”
   4. I valori collegati a tali proprietà sono oggetti, i cui valori sono cookie.
      1. Esempio: {Slonser: Cookie="Slonser=polluted; Domain=__proto__; Path=/notauth; hostOnly=false; aAge=1ms; cAge=35443ms"}

Se quanto precede non è True, l'istanza in esecuzione non è stata interessata dalla vulnerabilità.
 

Se sono stato interessato dalla vulnerabilità, quali azioni devo intraprendere? 

Se si ritiene di essere interessati da questa vulnerabilità, per eliminare il potenziale accesso non autorizzato ai cookie, aggiornare tough-cookie alla versione 4.1.3, disponibile qui. In alternativa, si può aggiornare il codice per assicurarsi che tutte le istanze di CookieJar abbiano rejectPublicSuffixes impostato su True, oppure utilizzare un archivio alternativo a MemoryCookieStore.
 

Cosa dovrei fare in caso di domande?