Trix 编辑器包含任意代码执行漏洞 (CVE-2024-34341)

admin
admin
admin
0
文章
0
评论
2024-05-21 23:35:22 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Trix 编辑器包含任意代码执行漏洞 (CVE-2024-34341)

CVE编号

CVE-2024-34341

利用情况

暂无

补丁情况

N/A

披露时间

2024-05-08
漏洞描述
Trix是一款富文本编辑器。Trix编辑器在2.1.1版本之前存在漏洞,当从网络或其他带有标记的文档中复制和粘贴内容到编辑器中时,可能会导致任意代码执行。这个漏洞源于对粘贴内容的不正确净化,允许攻击者嵌入恶意脚本,并在应用程序上下文中执行。用户应升级到Trix编辑器2.1.1或更高版本,该版本包含了对从复制内容输入的适当净化。
解决建议
"将组件 trix 升级至 2.1.1 及以上版本"
参考链接
https://github.com/basecamp/trix/commit/1a5c68a14d48421fc368e30026f4a7918028b7ad
https://github.com/basecamp/trix/commit/841ff19b53f349915100bca8fcb488214ff93554
https://github.com/basecamp/trix/pull/1147
https://github.com/basecamp/trix/pull/1149
https://github.com/basecamp/trix/releases/tag/v2.1.1
https://github.com/basecamp/trix/security/advisories/GHSA-qjqp-xr96-cj99
CVSS3评分 5.4
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2022-37249利用情况 暂无补丁情况 N/A披露时间 2024-05-08漏洞描述Rejected reason: DO N
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0