¿Cómo pueden los archivos javascript representar una vulnerabilidad XSS basada en flash?

2

Estoy hospedando un sitio web estático (sin PHP, solo HTML / JavaScript / CSS) con un proveedor de seguridad que elimina proactivamente los archivos vulnerables. Esto está bien para mí.

Sin embargo, su último informe indica muchos casos del siguiente problema, con varios archivos:

...
Sicherheitslücke vom Typ "XSS" in WordPress
/home/..../website/mediaelement-4.2.9/lang/uk.js
...

Con la siguiente explicación:

  

Vulnerabilidad de XSS en los archivos de respaldo de Flash en MediaElement

     

Se descubrió una vulnerabilidad de XSS en los archivos de respaldo de Flash en MediaElement, una biblioteca que se incluyó con WordPress. Porque el   Los archivos flash ya no son necesarios para la mayoría de los casos de uso, han sido   eliminado de WordPress.

Mi pregunta es, ¿cómo puede un archivo JavaScript causar una vulnerabilidad XSS en un archivo de respaldo instantáneo?

Nota: este es un reproductor multimedia, no un procesador de formularios.

Nota 2: La mención de WordPress es otro problema, ya que no es una instalación de WordPress, pero esto no es parte de la pregunta aquí.

    
pregunta Marcel 03.04.2018 - 08:49
fuente

1 respuesta

1

Las aplicaciones Flash pueden ejecutar código JavaScript en el contexto de la página en la que están incrustadas. Los objetos Flash también pueden recibir información externa, por ejemplo. a través de la URL o los parámetros flash, oa través de una API de scripting a través de JavaScript.

Juntos, se puede usar un archivo swf vulnerable para realizar XSS en el sitio que aloja el archivo swf. Por ejemplo, ver enlace

Según su mensaje de error, supongo que la vulnerabilidad específica fue revelada por este informe: enlace (actualmente con visibilidad limitada en los detalles). Según el informe, el error fue reportado hace 4 meses. Si realmente desea conocer los detalles exactos, puede consultar los cambios de los últimos cuatro meses en enlace

    
respondido por el Rob W 04.04.2018 - 10:29
fuente

Lea otras preguntas en las etiquetas