susana/BeyondCXAnalytics-Demo
2
0
Fork 0
Code Issues 2 Pull Requests 1 Actions Packages Projects Releases 6 Wiki Activity
Files
bbaf34f507eef1e840ae0a98649dddec00901506
BeyondCXAnalytics-Demo/frontend/NOTA_SEGURIDAD_XLSX.md
sujucu70 1bb0765766 Initial commit - ACME demo version
2026-02-04 11:08:21 +01:00

4.9 KiB
Raw Blame History

🔒 Nota de Seguridad - Vulnerabilidad XLSX

Última actualización: 2 de Diciembre de 2025

📋 Resumen

Al ejecutar npm audit, aparece una vulnerabilidad en la librería xlsx (SheetJS):

xlsx: Prototype Pollution + ReDoS
Severity: high
Status: No fix available

¿Qué significa esto?

Vulnerabilidades Reportadas

  1. Prototype Pollution (GHSA-4r6h-8v6p-xvw6)

    • Tipo: Ataque de contaminación de prototipos
    • Impacto: Potencial ejecución de código malicioso

  2. Regular Expression Denial of Service (ReDoS) (GHSA-5pgg-2g8v-p4x9)

    • Tipo: Ataque de denegación de servicio
    • Impacto: La aplicación podría congelarse con ciertos inputs

🛡️ Contexto y Mitigación

¿Afecta a Beyond Diagnostic?

Impacto directo: BAJO / MEDIO

Razones:

  1. Las vulnerabilidades requieren datos manipulados específicamente
  2. La aplicación carga archivos CSV/Excel locales
  3. No hay entrada de datos maliciosos directos desde usuarios externos
  4. Se valida toda la entrada de datos antes de procesar

Escenarios de Riesgo

Escenario Riesgo Mitigación
Archivo Excel local Bajo Usuario controla archivos
CSV desde sistema Bajo Usuario controla archivos
Upload desde web ⚠️ Medio No implementado en esta versión
Datos remotos ⚠️ Medio No implementado en esta versión

Recomendaciones

Para Desarrollo Local

Status: ✅ SEGURO
- No hay riesgo inmediato en desarrollo local
- Los datos se cargan desde archivos locales
- Se validan antes de procesar

Para Producción

Recomendación: MONITOREAR
1. Mantener alert sobre actualizaciones de xlsx
2. Considerar alternativa si se habilita upload web
3. Implementar validaciones adicionales si es necesario

Alternativas Futuras

Si en el futuro se requiere reemplazar xlsx:

  • Alternative 1: exceljs - Mejor mantenimiento
  • Alternative 2: xlsx-populate - Activamente mantenido
  • Alternative 3: API serverless (Google Sheets API, etc.)

📊 Impacto Actual

Aspecto Status
Funcionalidad No afectada
Aplicación local Segura
Datos locales Protegidos
Performance Normal

🔍 Análisis Técnico

Cómo se usa xlsx en Beyond Diagnostic

// En fileParser.ts
const XLSX = await import('xlsx');
const workbook = XLSX.read(data, { type: 'binary' });
const worksheet = workbook.Sheets[firstSheetName];
const jsonData = XLSX.utils.sheet_to_json(worksheet);

Análisis:

  1. Se importa dinámicamente (lazy loading)
  2. Solo procesa archivos locales
  3. Los datos se validan DESPUÉS del parsing
  4. No se ejecuta código dentro de los datos

🛠️ Cómo Mitigar

Validaciones Implementadas

// En fileParser.ts
-  Validación de encabezados requeridos
-  Validación de estructura de datos
-  Try-catch en parsing
-  Validación de tipos después del parsing
-  Filtrado de filas inválidas

Validaciones Adicionales (Si es necesario)

// Agregar si se habilita upload en el futuro
- Validar tamaño máximo de archivo
- Sanitizar nombres de columnas
- Limitar número de filas
- Usar sandbox para procesamiento

📌 Decisión Actual

Mantener xlsx

Justificación:

  1. Sin impacto en uso local actual
  2. Funcionalidad crítica para carga de datos
  3. Validaciones ya implementadas
  4. Riesgo bajo en contexto actual

Revisión Futura

  • Trimestre 2025 Q1: Evaluar actualizaciones de xlsx
  • Si se habilita upload web: Considerar alternativa
  • Si hay explotación documentada: Actuar inmediatamente

🚨 Qué Hacer Si

Si aparecen errores al cargar archivos

  1. Verificar que el archivo Excel está correctamente formado
  2. Usar formato .xlsx estándar
  3. No utilizar macros o características avanzadas

Si se necesita máxima seguridad

  1. Usar datos sintéticos (ya incluidos)
  2. No cargar archivos de fuentes no confiables
  3. Monitorear actualizaciones de seguridad

📚 Referencias

Vulnerabilidades reportadas:

  • GHSA-4r6h-8v6p-xvw6: Prototype Pollution
  • GHSA-5pgg-2g8v-p4x9: ReDoS

Estado actual:

  • Librería: xlsx 0.18.5
  • Última actualización: 2024
  • Alternativas: En evaluación

Conclusión

La vulnerabilidad de xlsx NO afecta a la ejecución local de Beyond Diagnostic Prototipo en su contexto actual.

La aplicación es segura para usar en:

  • Entorno de desarrollo local
  • Carga de archivos locales
  • Datos sintéticos

Para producción, se recomienda:

  • Monitorear actualizaciones
  • Evaluar alternativas si cambian requisitos
  • Implementar validaciones adicionales si es necesario

Reviewed: 2025-12-02 Status: ACEPTABLE PARA USO LOCAL Next Review: Q1 2025

Reference in New Issue View Git Blame Copy Permalink