Dash 应用程序容易受到跨站点脚本攻击 (CVE-2024-21485)

admin
admin
admin
0
文章
0
评论
2024-02-04 10:01:09 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Dash 应用程序容易受到跨站点脚本攻击 (CVE-2024-21485)

CVE编号

CVE-2024-21485

利用情况

暂无

补丁情况

N/A

披露时间

2024-02-02
漏洞描述
当a标签的href受到对手控制时,Dash-core-components 2.13.0之前的版本; 所有版本的Dash-core-components; Dash 2.15.0之前的版本; 所有版本的Dash-html-components; Dash-html-components 2.0.16之前的版本存在跨站脚本攻击 (XSS) 漏洞。利用此漏洞,身份验证的攻击者可以存储一个视图来窃取另一个用户可见的数据,不仅是页面上已经包含的数据,还可以通过理论上的额外请求访问其他对该用户可访问的数据。在某些情况下,他们还可以窃取该用户的访问令牌,从而允许攻击者扮演该用户的身份,包括查看同一服务器上托管的其他应用程序和资源。注意:只有在包含某种机制来存储被不同用户重载的用户输入的Dash应用程序中才能利用此漏洞。
解决建议
"将组件 dash-html-components 升级至 2.0.16 及以上版本""将组件 dash-core-components 升级至 2.13.0 及以上版本""将组件 dash 升级至 2.15.0 及以上版本"
参考链接
https://github.com/plotly/dash/commit/9920073c9a8619ae8f90fcec1924f2f3a4332a8c
https://github.com/plotly/dash/issues/2729
https://github.com/plotly/dash/pull/2732
https://github.com/plotly/dash/releases/tag/v2.15.0
https://security.snyk.io/vuln/SNYK-JS-DASHCORECOMPONENTS-6183084
https://security.snyk.io/vuln/SNYK-JS-DASHHTMLCOMPONENTS-6226337
https://security.snyk.io/vuln/SNYK-PYTHON-DASH-6226335
https://security.snyk.io/vuln/SNYK-PYTHON-DASHCORECOMPONENTS-6226334
https://security.snyk.io/vuln/SNYK-PYTHON-DASHHTMLCOMPONENTS-6226336
CVSS3评分 6.5
  • 攻击路径 网络
  • 攻击复杂度 高
  • 权限要求 低
  • 影响范围 已更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 高
  • 完整性 低
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  2