Ibexa RichText 字段类型中的持久跨站点脚本 (CVE-2024-43369)

admin
admin
admin
0
文章
0
评论
2024-08-17 13:40:18 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Ibexa RichText 字段类型中的持久跨站点脚本 (CVE-2024-43369)

CVE编号

CVE-2024-43369

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-16
漏洞描述
Ibexa RichText Field Type是一种用于支持以结构化XML格式存储的富文本字段类型。在4.6分支的4.6.10之前的版本中,富文本字段类型的验证器会阻止链接中的`javascript:`和`vbscript:`以防止跨站脚本攻击(XSS)。这可能会留下其他选项,并且可以使用大写绕过检查。要利用此漏洞,需要富文本内容的编辑权限,这通常意味着需要拥有编辑角色或更高权限。修复程序实现了允许列表,只允许批准的链接协议。新的检查不区分大小写。版本4.6.10包含针对这个问题的补丁。目前没有已知的解决方法可用。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://developers.ibexa.co/security-advisories/ibexa-sa-2024-005-persistent-...
https://github.com/ezsystems/ezplatform-richtext/security/advisories/GHSA-rhm...
https://github.com/ibexa/fieldtype-richtext/commit/0a3b830e8806d5169f697351fd...
https://github.com/ibexa/fieldtype-richtext/commit/59e9c1a9da60597f60cf7338bf...
https://github.com/ibexa/fieldtype-richtext/security/advisories/GHSA-hvcf-6324-cjh7
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0