آسیب‌پذیری بحرانی درکتابخانهsvg-loader

آسیب‌پذیری بحرانی با شناسه CVE-2023-40013 و امتیاز 9.8 به مهاجم اجازه می‌دهد تا یک SVG مخرب ایجاد کند که می‌تواند منجر به اسکریپت بین سایتی (XSS) شود. 
SVG Loader  یک کتابخانه جاوا اسکریپت است که SVG ها را با استفاده از XMLHttpRequests واکشی می کند و کد SVG را در محل تگ تزریق می کند. طبق اسناد، svg-loader تمام کدهای JS را قبل از تزریق فایل SVG به دلایل امنیتی حذف می‌کند، اما منطق پاکسازی ورودی کافی نیست و می‌تواند به راحتی دور زده شود.
 کاربر مخرب می‌تواند یک SVG مخرب ایجاد کند که می تواند منجر به اسکریپت بین سایتی (XSS) شود. هنگام تلاش برای پاکسازی lib،svg  ویژگی‌های رویداد مانند  onmouseover،  onclick را حذف می‌کند. هر وب‌سایتی که از svg-loader استفاده می‌کند و به کاربران خود اجازه می‌دهد فایل‌هایsvg src، آپلود svg را ارائه دهند، در معرض حمله XSS ذخیره شده قرار خواهد گرفت.
این آسیب‌پذیری در commit 'd3562fc08' که در نسخه‌های1.6.9  گنجانده شده است، مشاهده شده است.
تا این لحظه هیچ راه‌حل شناخته ‌شده‌ای برای این آسیب‌پذیری وجود ندارد. به کاربران توصیه می‌شود که به آخرین نسخه ارتقا دهند. 
 منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-40013

[2] https://www.tenable.com/cve/CVE-2023-40013