Estimados Clientes,
Cómo posiblemente ya es de su conocimiento, recientes reportes oficiales de seguridad, CSIRT y CVE-2024-38526, han advertido sobre una vulnerabilidad que afecta a la cadena de suministro de la librería de Polyfill.io. Debido a esto, preparamos este comunicado para entregar contexto y posibles acciones a los clientes que potencialmente podrían verse afectados.
¿Qué es un polyfill?
Un polyfill es un fragmento de código que permite que los sitios web y aplicaciones funcionen correctamente en navegadores antiguos. Actúa como un puente, proporcionando funcionalidades modernas que estos navegadores no soportan de forma nativa. Esto es crucial para garantizar que todos los usuarios tengan una experiencia consistente, independientemente del navegador que utilicen.
Los polyfills funcionan detectando si una función es compatible con el navegador y, si no lo es, implementan una alternativa que imita el comportamiento deseado. Esto permite a los desarrolladores utilizar las últimas tecnologías sin sacrificar la compatibilidad con navegadores más antiguos. Además, simplifica el mantenimiento del código al centralizar la lógica de compatibilidad.
¿Qué es un Polyfill.io?
Polyfill.io era un servicio web popular que proporcionaba polyfills a sitios web de forma dinámica. Los polyfills, como se explicó anteriormente, son fragmentos de código que permiten que los sitios web funcionen correctamente en navegadores antiguos.
Polyfill.io permitía a los desarrolladores incluir fácilmente polyfills en sus sitios web sin tener que descargar y administrar manualmente las bibliotecas de polyfills.
¿La seguridad de la Plataforma Modyo se ve comprometida por esta vulnerabilidad?
Las versiones más recientes de la plataforma de Modyo 10, no utilizan ningún tipo de polyfill. En el caso de las versiones anteriores, como Modyo 8 y Modyo 9, los usos de polyfill se empaquetan de forma interna y no se hace uso de la CDN comprometida.
En el caso de los sitios y aplicaciones Web creadas sobre Modyo Channels por parte de nuestros clientes, corresponde a cada uno verificar sus usos dentro de sus plantillas y Widgets.
¿Qué pasa si mi código utiliza Polyfill.io?
Si tu código utiliza la CDN comprometida de Polyfill, la recomendación es implementarla mediante una de las alternativas que se explican a continuación. Independiente de eso, el dominio de la CDN fue dado de baja por parte del proveedor de nombre para evitar la propagación de las potenciales actividades maliciosas que se pudieron haber originado.
Alternativas a Polyfill.io:
- cdnjs: Es un CDN (Content Delivery Network) que alberga muchas bibliotecas JavaScript, incluyendo polyfills.
- core-js: Es una biblioteca modular de polyfills que te permite incluir solo los polyfills que necesitas.
- Polyfill.io (en cdnjs): Cloudflare ha implementado una versión segura de Polyfill.io en su CDN, cdnjs.
Esperamos haber clarificado. Para cualquier duda adicional, favor contáctanos por nuestros canales de soporte oficial.
Saludos,
José Antonio Silva
VP of Technology
Modyo