hedgedoc hedgedoc 在web页面生成时对输入的转义处理不恰当(跨站脚本)
CVE编号
CVE-2020-26287利用情况
暂无补丁情况
N/A披露时间
2020-12-29漏洞描述
Hedgedoc是Hedgedoc团队的一个基于Javascript的Markdown文档实时编辑分享平台。 HedgeDoc 1.7.1之前版本存在安全漏洞,攻击者可利用该漏洞可以在HedgeDoc notes中注入任意的“脚本”标签。我们的内容安全策略禁止从大多数位置加载脚本,但“www.google-analytics.com”是允许的。使用谷歌标签管理器可以注入任意JavaScript并在页面加载时执行它。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/hedgedoc/hedgedoc/commit/58276ebbf4504a682454a3686dcaff88bc1069d4受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | hedgedoc | hedgedoc | * | Up to (excluding) 1.7.1 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论