teddy_project teddy 在web页面生成时对输入的转义处理不恰当（跨站脚本）

admin

0
文章

0
评论

2023-11-30 19:27:30 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 teddy_project teddy 在web页面生成时对输入的转义处理不恰当（跨站脚本）

CVE编号

CVE-2021-23447

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-10-08

漏洞描述

This affects the package teddy before 0.5.9. A type confusion vulnerability can be used to bypass input sanitization when the model content is an array (instead of a string).

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/rooseveltframework/teddy/pull/518
https://github.com/rooseveltframework/teddy/releases/tag/0.5.9
https://snyk.io/vuln/SNYK-JS-TEDDY-1579557

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	teddy_project	teddy	*		Up to (excluding) 0.5.9

攻击路径本地
攻击复杂度困难
权限要求普通权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-843	使用不兼容类型访问资源（类型混淆）