pekeUpload 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202111-272	CVE编号	CVE-2021-23673
发布时间	2021-11-01	更新时间	2021-11-02
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	N/A

漏洞介绍

PekeUpload是哥伦比亚Pedro Molina个人开发者的一个 Jquery Html5 文件上传插件。 pekeUpload存在跨站脚本漏洞，该漏洞的存在是由于对用户提供的数据没有进行充分的清理。远程攻击者可利用该漏洞可以诱骗受害者遵循一个特别制作的链接，并在用户的浏览器中执行任意的HTML和脚本代码，在易受攻击的网站。公开的漏洞允许远程攻击者可利用该漏洞执行跨站脚本攻击。

漏洞补丁

目前厂商已发布升级了pekeUpload 跨站脚本漏洞的补丁，pekeUpload 跨站脚本漏洞的补丁获取链接： http://github.com/moxiecode/plupload/blob/120cc0b5dd3373d7181fd11b06ac2557c890d3f0/js/jquery.plupload.queue/jquery.plupload.queue.js#L226