excalidraw 的 Web 嵌入组件中容易受到存储型 XSS 的影响 (CVE-2024-32472)
CVE编号
CVE-2024-32472利用情况
暂无补丁情况
N/A披露时间
2024-04-18漏洞描述
Excalidraw是一个开源的虚拟手绘风格白板。Excalidraw的Web嵌入组件存在存储型跨站脚本漏洞,允许在主机域的上下文中运行任意JavaScript代码。漏洞存在两个向量。一个是未经适当消毒的将不受信任的字符串呈现为iframe的`srcdoc`,从而受到HTML注入攻击。另一个是未能适当消毒以防止属性HTML注入攻击。再加上允许`allow-same-origin`沙盒标志(对于几个嵌入是必要的),导致了跨站脚本攻击。该漏洞已在版本0.17.6和0.16.4中修复。解决建议
"将组件 @excalidraw/excalidraw 升级至 0.17.6 及以上版本""将组件 @excalidraw/excalidraw 升级至 0.16.4 及以上版本"- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论