Storybook — это интерфейсная мастерская для изолированного создания компонентов и страниц пользовательского интерфейса. До версий 7.6.23, 8.6.17, 9.1.19 и 10.2.10 функция WebSocket на сервере разработки Storybook, используемая для создания и обновления историй, уязвима для перехвата WebSocket. Эта уязвимость затрагивает только сервер разработки Storybook; Производственные сборки не затронуты.
Для эксплуатации требуется, чтобы разработчик посетил вредоносный веб-сайт, пока работает его локальный сервер разработки Storybook. Поскольку соединение WebSocket не проверяет происхождение входящих подключений, вредоносный сайт может автоматически отправлять сообщения WebSocket на локальный экземпляр без какого-либо дальнейшего взаимодействия с пользователем. Если сервер разработки Storybook намеренно открыт для публичного доступа (например, для проверки дизайна или демонстраций заинтересованных сторон), риск выше, поскольку вредоносное посещение сайта не требуется.
Любой неаутентифицированный злоумышленник может напрямую отправлять ему сообщения WebSocket. Уязвимость затрагивает обработчики сообщений WebSocket для создания и сохранения историй. Оба уязвимы для внедрения через несанкционированный ввод в поле компонентфилепас, что можно использовать для достижения постоянного XSS или удаленного выполнения кода (RCE).
Версии 7.6.23, 8.6.17, 9.1.19 и 10.2.10 содержат исправление этой проблемы.
Показать оригинальное описание (EN)
Storybook is a frontend workshop for building user interface components and pages in isolation. Prior to versions 7.6.23, 8.6.17, 9.1.19, and 10.2.10, the WebSocket functionality in Storybook's dev server, used to create and update stories, is vulnerable to WebSocket hijacking. This vulnerability only affects the Storybook dev server; production builds are not impacted. Exploitation requires a developer to visit a malicious website while their local Storybook dev server is running. Because the WebSocket connection does not validate the origin of incoming connections, a malicious site can silently send WebSocket messages to the local instance without any further user interaction. If the Storybook dev server is intentionally exposed publicly (e.g. for design reviews or stakeholder demos) the risk is higher, as no malicious site visit is required. Any unauthenticated attacker can send WebSocket messages to it directly. The vulnerability affects the WebSocket message handlers for creating and saving stories. Both are vulnerable to injection via unsanitized input in the componentFilePath field, which can be exploited to achieve persistent XSS or Remote Code Execution (RCE). Versions 7.6.23, 8.6.17, 9.1.19, and 10.2.10 contain a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0