Highlight.js 安全漏洞
| CNNVD-ID编号 | CNNVD-202011-1841 | CVE编号 | CVE-2020-26237 |
| 发布时间 | 2020-11-24 | 更新时间 | 2021-01-04 |
| 漏洞类型 | 其他 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | N/A | ||
漏洞介绍
Highlightjs是Highlightjs团队的一个由JavaScript编写的语法高亮工具。该软件在浏览器和服务器上均可使用,不依赖于任何框架,并且具有自动语言检测功能。
Highlight.js 9.18.2版本和10.1.2之前版本存在安全漏洞,该漏洞源于如果允许用户通过解析Markdown代码块(或类似代码)将自定义HTML代码块插入您的页面/应用程序,并且不过滤用户可以为您提供的语言名称,则可能会受到攻击。
漏洞补丁
目前厂商已发布升级了Highlight.js 安全漏洞的补丁,Highlight.js 安全漏洞的补丁获取链接:
https://github.com/highlightjs/highlight.js/commit/7241013ae011a585983e176ddc0489a7a52f6bb0
参考网址
来源:MISC
链接:https://github.com/highlightjs/highlight.js/commit/7241013ae011a585983e176ddc0489a7a52f6bb0
来源:CONFIRM
链接:https://github.com/highlightjs/highlight.js/security/advisories/GHSA-vfrc-7r7c-w9mx
来源:MISC
链接:https://github.com/highlightjs/highlight.js/pull/2636
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2020/12/msg00041.html
来源:MISC
链接:https://www.npmjs.com/package/highlight.js
来源:vigilance.fr
链接:https://vigilance.fr/vulnerability/Highlight-js-read-write-access-via-Prototype-Pollution-34222
受影响实体
暂无
信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202011-1841
评论