OpenRefine 的错误页面缺乏转义,导致导入恶意项目时可能存在跨站点脚本攻击(CVE-2024-47882)

admin 2024-10-28 15:31:47 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
OpenRefine 的错误页面缺乏转义,导致导入恶意项目时可能存在跨站点脚本攻击(CVE-2024-47882)

CVE编号

CVE-2024-47882

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-25
漏洞描述
OpenRefine是一个免费、开源的工具,用于处理杂乱的数据。在版本3.8.3之前,内置的“出现问题!”错误页面包含异常消息和异常跟踪,但没有对HTML标签进行转义,如果攻击者能够可靠地产生带有攻击者影响的信息,则可能使攻击者注入到页面。看起来在OpenRefine本身中唯一能到达此代码的方法是攻击者设法说服受害者导入恶意文件,这可能很困难。然而,树外的扩展可能会添加它们自己的调用`respondWithErrorPage`。版本3.8.3已经修复了这个问题。
解决建议
"将组件 org.openrefine:openrefine 升级至 3.8.3 及以上版本"
参考链接
https://github.com/OpenRefine/OpenRefine/blob/master/main/webapp/modules/core...
https://github.com/OpenRefine/OpenRefine/commit/85594e75e7b36025f7b6a67dcd3ec...
https://github.com/OpenRefine/OpenRefine/security/advisories/GHSA-j8hp-f2mj-586g
CVSS3评分 5.9
  • 攻击路径 网络
  • 攻击复杂度 高
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 高
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:N
CWE-ID 漏洞类型
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
CWE-81 错误消息Web页面中脚本转义处理不恰当
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0