Tipo de problema
Bug
Descripción
El template HTML base carga Chart.js desde CDN sin atributo integrity ni crossorigin. Si el CDN es comprometido, los reportes HTML ejecutarían JavaScript malicioso.
Localización
internal/report/templates/base.html:L7
Evidencia
<script src="https://cdn.jsdelivr.net/npm/chart.js@4.4.1/dist/chart.umd.min.js"></script>
Impacto
Supply chain attack: un atacante que comprometa el CDN podría exfiltrar datos de costes y cuentas AWS desde los reportes.
Sugerencia de solución
Añadir integrity="sha384-<hash>" y crossorigin="anonymous" al tag script.
Detectado por
Security Agent
Tipo de problema
Bug
Descripción
El template HTML base carga Chart.js desde CDN sin atributo
integritynicrossorigin. Si el CDN es comprometido, los reportes HTML ejecutarían JavaScript malicioso.Localización
internal/report/templates/base.html:L7Evidencia
Impacto
Supply chain attack: un atacante que comprometa el CDN podría exfiltrar datos de costes y cuentas AWS desde los reportes.
Sugerencia de solución
Añadir
integrity="sha384-<hash>"ycrossorigin="anonymous"al tag script.Detectado por
Security Agent