Highlight.js 安全漏洞

漏洞介绍

Highlightjs是Highlightjs团队的一个由JavaScript编写的语法高亮工具。该软件在浏览器和服务器上均可使用，不依赖于任何框架，并且具有自动语言检测功能。

Highlight.js 9.18.2版本和10.1.2之前版本存在安全漏洞，该漏洞源于如果允许用户通过解析Markdown代码块（或类似代码）将自定义HTML代码块插入您的页面/应用程序，并且不过滤用户可以为您提供的语言名称，则可能会受到攻击。

漏洞补丁

目前厂商已发布升级了Highlight.js 安全漏洞的补丁，Highlight.js 安全漏洞的补丁获取链接：

https://github.com/highlightjs/highlight.js/commit/7241013ae011a585983e176ddc0489a7a52f6bb0

参考网址

来源:MISC

链接：https://github.com/highlightjs/highlight.js/commit/7241013ae011a585983e176ddc0489a7a52f6bb0

来源:CONFIRM

链接：https://github.com/highlightjs/highlight.js/security/advisories/GHSA-vfrc-7r7c-w9mx

来源:MISC

链接：https://github.com/highlightjs/highlight.js/pull/2636

来源:MLIST

链接：https://lists.debian.org/debian-lts-announce/2020/12/msg00041.html

来源:MISC

链接：https://www.npmjs.com/package/highlight.js

来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/Highlight-js-read-write-access-via-Prototype-Pollution-34222

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202011-1841