GHSA-h8r8-wccr-v5f2, GHSA-cjmm-f4jc-qw8r, GHSA-cj63-jhhr-wcxv
Data: 2026-04-15
Severity: Medium
Riferimenti:
https://github.com/cure53/DOMPurify/security/advisories/GHSA-h8r8-wccr-v5f2
https://github.com/cure53/DOMPurify/security/advisories/GHSA-cjmm-f4jc-qw8r
https://github.com/cure53/DOMPurify/security/advisories/GHSA-cj63-jhhr-wcxv
Libreria: DOMPurify < 3.3.2 (bundlato in org.webjars:swagger-ui:5.24.1-1)
Descrizione
Tre vulnerabilità di tipo XSS nella libreria JavaScript DOMPurify versione 3.2.4, inclusa come dipendenza transitiva nel bundle JavaScript di swagger-ui (swagger-ui-bundle.js):
[GHSA-h8r8-wccr-v5f2] mXSS via Re-Contextualization: l’HTML sanitizzato con DOMPurify.sanitize() può mutare in markup eseguibile quando viene reinserito in un nuovo contesto di parsing tramite innerHTML con wrapper speciali (script, xmp, iframe, noembed, noframes, noscript). Reported by Fluid Attacks.
[GHSA-cjmm-f4jc-qw8r] URI Validation Bypass: utilizzando ADD_ATTR come funzione predicato tramite EXTRA_ELEMENT_HANDLING.attributeCheck, un attaccante può far sopravvivere URL con protocollo javascript: bypassando la validazione URI di DOMPurify, causando DOM-based XSS. Identified by Cantina’s Apex.
[GHSA-cj63-jhhr-wcxv] Prototype Pollution Bypass: quando USE_PROFILES è abilitato, ALLOWED_ATTR viene ricostruito come array. Se Array.prototype è inquinato (es. Array.prototype.onclick = true), DOMPurify accetta event handler pericolosi normalmente vietati, causando DOM-based XSS. Identified by Cantina’s Apex.
Tutte e tre le vulnerabilità sono state risolte in DOMPurify 3.3.2.
GovWay
La libreria swagger-ui è presente nei WAR govwayAPIConfig e govwayAPIMonitor solamente se la funzionalità Swagger UI è stata abilitata in fase di build (parametro enableSwaggerUi=true). Di default la funzionalità non è abilitata e la libreria non è inclusa nei WAR distribuiti.
Versione affette:
3.3.x: <= 3.3.19.p1 (solo se Swagger UI abilitato)
3.4.x: <= 3.4.2.p1 (solo se Swagger UI abilitato)
Risoluzione:
3.3.x: 3.3.20
3.4.x: 3.4.3