OpenRefine 的错误页面缺乏转义,导致导入恶意项目时可能存在跨站点脚本攻击(CVE-2024-47882)
CVE编号
CVE-2024-47882利用情况
暂无补丁情况
N/A披露时间
2024-10-25漏洞描述
OpenRefine是一个免费、开源的工具,用于处理杂乱的数据。在版本3.8.3之前,内置的“出现问题!”错误页面包含异常消息和异常跟踪,但没有对HTML标签进行转义,如果攻击者能够可靠地产生带有攻击者影响的信息,则可能使攻击者注入到页面。看起来在OpenRefine本身中唯一能到达此代码的方法是攻击者设法说服受害者导入恶意文件,这可能很困难。然而,树外的扩展可能会添加它们自己的调用`respondWithErrorPage`。版本3.8.3已经修复了这个问题。解决建议
"将组件 org.openrefine:openrefine 升级至 3.8.3 及以上版本"- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 高
CWE-ID | 漏洞类型 |
CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
CWE-81 | 错误消息Web页面中脚本转义处理不恰当 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论