Querybook 存储的跨站点脚本允许权限提升 (CVE-2024-27103)
CVE编号
CVE-2024-27103利用情况
暂无补丁情况
N/A披露时间
2024-02-29漏洞描述
Querybook是一个大数据查询界面。当用户搜索他们的查询、数据文档、表格和列表时,搜索结果会被标记和突出显示,这个特性使用了dangerouslySetInnerHTML,这意味着如果突出显示的结果包含XSS有效负载,则会触发漏洞。而dangerouslySetInnerHTML的输入没有对查询内容进行净化,从而导致XSS漏洞。在“查询自动建议”中,建议表的名称被设置为innerHTML,因此会导致XSS漏洞。已在Querybook版本3.31.2中引入了一个修补程序来解决这个问题。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/pinterest/querybook/commit/449bdc9e7d679e042c3718b7ed07d2f... | |
| https://github.com/pinterest/querybook/security/advisories/GHSA-3hjm-9277-5c88 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论