链接字段“自定义”类型中的 Kirby 跨站脚本 (XSS) (CVE-2024-27087)
CVE编号
CVE-2024-27087利用情况
暂无补丁情况
N/A披露时间
2024-02-27漏洞描述
Kirby是一个内容管理系统。Kirby 4引入了新的链接字段,允许多种不同的链接类型,每种类型都验证输入的链接到相关的URL格式。它还包括一个“自定义”链接类型,用于不符合任何预定义链接格式的高级用例。由于“自定义”链接类型旨在灵活,它还允许javascript: URL方案。在某些用例中,这可能是有意为之,但攻击者也可以利用此功能,在用户或访客点击从链接字段内容生成的链接时执行任意JavaScript代码。该漏洞在4.1.1中修补。解决建议
"将组件 getkirby/cms 升级至 4.1.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/getkirby/kirby/commit/cda3dd9a15228d35e62ff86cfa87a67e7c687437 | |
| https://github.com/getkirby/kirby/security/advisories/GHSA-63h4-w25c-3qv4 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论