Phlex 中恶意形成的 HTML 属性名称和值可能会导致跨站点脚本 (XSS) (CVE-2024-28199)
CVE编号
CVE-2024-28199利用情况
暂无补丁情况
N/A披露时间
2024-03-12漏洞描述
Phlex是一个用于在Ruby中构建面向对象视图的开源框架。存在一个潜在的跨站脚本(XSS)漏洞,可以通过恶意构造的用户数据进行利用。这是因为代码中没有正确区分大小写,旨在防止这些攻击。如果您呈现一个`<a>`标签,并将`href`属性设置为用户提供的链接,那么当另一个用户点击链接时,该链接可能会执行JavaScript。如果您在呈现任何HTML标签时使用了用户提供的属性,那么恶意事件属性可能会包含在输出中,当另一个用户触发这些事件时,会执行JavaScript。对于所有1.x次要版本,RubyGems上提供了补丁。建议用户升级。无法升级的用户应考虑配置不允许`unsafe-inline`的内容安全策略。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论