Detecção de Vulnerabilidades
Aprenda como o cside detecta scripts de terceiros vulneráveis no seu site usando bancos de dados de vulnerabilidades padrão da indústria.
O cside verifica automaticamente cada script de terceiro carregado no seu site e o compara com bancos de dados de vulnerabilidades conhecidas. Quando um script com uma vulnerabilidade conhecida é detectado, nós o sinalizamos e exibimos os detalhes no seu painel para que você possa tomar as medidas necessárias.
Como funciona
Quando um script é carregado no seu site, o cside segue um processo de três etapas para determinar se ele contém vulnerabilidades conhecidas:
1. Extrair a biblioteca e a versão
O cside identifica o nome do pacote e a versão a partir da URL do script. Suportamos uma ampla variedade de padrões comuns de CDN e hospedagem:
| CDN / Padrão | URL de Exemplo |
|---|---|
| cdnjs | cdnjs.cloudflare.com/ajax/libs/lodash.js/4.17.21/lodash.min.js |
| unpkg | unpkg.com/lodash@4.17.21/lodash.min.js |
| jsDelivr | cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js |
| Versão em query param | example.com/lodash.js?v=4.17.21 |
| Versão no nome do arquivo | example.com/lodash-4.17.21.min.js |
Por exemplo, dada a URL do script:
https://cdnjs.cloudflare.com/ajax/libs/lodash.js/4.17.21/lodash.min.jsO cside extrai:
- Pacote:
lodash.js - Versão:
4.17.21
2. Verificar nos bancos de dados de vulnerabilidades
O pacote e a versão extraídos são verificados em múltiplos bancos de dados de vulnerabilidades padrão da indústria que agregam problemas de segurança conhecidos de fontes como o National Vulnerability Database, GitHub Security Advisories e o registro npm.
Esses bancos de dados são sincronizados regularmente para garantir cobertura atualizada.
3. Comparar com faixas de versões afetadas
Cada vulnerabilidade define uma ou mais faixas de versões afetadas. O cside verifica se a versão detectada está dentro de alguma faixa afetada. Por exemplo, uma vulnerabilidade pode especificar:
- Introduzida em:
0.0.0 - Corrigida em:
4.17.22
Neste caso, qualquer versão do lodash abaixo de 4.17.22 seria sinalizada - incluindo 4.17.21.
Exemplo: lodash 4.17.21
O script https://cdnjs.cloudflare.com/ajax/libs/lodash.js/4.17.21/lodash.min.js é um exemplo real de um script que o cside reportaria como vulnerável.
O Lodash 4.17.21 é afetado por vulnerabilidades conhecidas, incluindo problemas de prototype pollution rastreados em registros públicos de CVE. Quando o cside detecta este script no seu site, o alerta inclui:
- ID da Vulnerabilidade - O identificador CVE ou advisory (por exemplo,
CVE-2025-XXXX,GHSA-XXXX) - Severidade - O nível de severidade da vulnerabilidade
- Resumo - Uma breve descrição da vulnerabilidade
- Fonte - Qual banco de dados de vulnerabilidades sinalizou o problema
O que reportamos
Quando um script vulnerável é detectado, o cside cria um alerta de script visível no seu painel com os seguintes detalhes:
| Campo | Descrição |
|---|---|
| Pacote | O nome da biblioteca identificada (por exemplo, lodash.js) |
| Versão | A versão detectada (por exemplo, 4.17.21) |
| ID da Vulnerabilidade | O identificador CVE, GHSA ou MAL |
| Severidade | A classificação de severidade da vulnerabilidade |
| Resumo | Uma breve descrição do problema |
| Fonte | Qual banco de dados de vulnerabilidades sinalizou o problema |
Scripts podem ter múltiplas vulnerabilidades. O cside reportará cada uma individualmente para que você tenha visibilidade completa da superfície de risco de cada script no seu site.
Tipos de vulnerabilidades detectadas
O cside detecta várias categorias de scripts vulneráveis:
- CVEs Conhecidos - Scripts com vulnerabilidades divulgadas publicamente no National Vulnerability Database
- GitHub Security Advisories - Vulnerabilidades reportadas através do sistema de advisories do GitHub (identificadores GHSA)
- Pacotes Maliciosos - Scripts de pacotes npm que foram sinalizados como intencionalmente maliciosos (identificadores MAL)
CDNs e formatos de URL suportados
O cside pode extrair informações de bibliotecas de scripts servidos por qualquer um destes padrões:
- unpkg.com -
unpkg.com/@scope/package@version/file.js - jsDelivr -
cdn.jsdelivr.net/npm/package@version/file.js - cdnjs -
cdnjs.cloudflare.com/ajax/libs/package/version/file.js - Parâmetros de query - Qualquer URL com parâmetros de versão
?v=ou?ver= - Versionamento no nome do arquivo - Scripts como
package-1.2.3.min.jsoupackage.1.2.3.js - Versionamento no caminho - URLs como
/1.2.3/package.js
Se uma URL de script não contém informações de versão reconhecíveis, o cside não conseguirá realizar uma verificação de vulnerabilidade. Recomendamos o uso de URLs de CDN versionadas para seus scripts de terceiros sempre que possível.
Ações recomendadas
Quando o cside sinaliza um script vulnerável no seu site:
- Revise os detalhes da vulnerabilidade no seu painel para entender a severidade e o impacto
- Atualize o script para uma versão corrigida, se disponível
- Avalie o risco - determine se a vulnerabilidade é explorável no seu uso específico
- Remova o script se não estiver mais sendo mantido ou se não existir uma versão corrigida