链接字段“自定义”类型中的 Kirby 跨站脚本 (XSS) (CVE-2024-27087)

admin
admin
admin
0
文章
0
评论
2024-02-28 12:54:09 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
链接字段“自定义”类型中的 Kirby 跨站脚本 (XSS) (CVE-2024-27087)

CVE编号

CVE-2024-27087

利用情况

暂无

补丁情况

N/A

披露时间

2024-02-27
漏洞描述
Kirby是一个内容管理系统。Kirby 4引入了新的链接字段,允许多种不同的链接类型,每种类型都验证输入的链接到相关的URL格式。它还包括一个“自定义”链接类型,用于不符合任何预定义链接格式的高级用例。由于“自定义”链接类型旨在灵活,它还允许javascript: URL方案。在某些用例中,这可能是有意为之,但攻击者也可以利用此功能,在用户或访客点击从链接字段内容生成的链接时执行任意JavaScript代码。该漏洞在4.1.1中修补。
解决建议
"将组件 getkirby/cms 升级至 4.1.1 及以上版本"
参考链接
https://github.com/getkirby/kirby/commit/cda3dd9a15228d35e62ff86cfa87a67e7c687437
https://github.com/getkirby/kirby/security/advisories/GHSA-63h4-w25c-3qv4
CVSS3评分 4.6
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0