excalidraw 的 Web 嵌入组件中容易受到存储型 XSS 的影响 (CVE-2024-32472)

admin
admin
admin
0
文章
0
评论
2024-04-21 21:13:31 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
excalidraw 的 Web 嵌入组件中容易受到存储型 XSS 的影响 (CVE-2024-32472)

CVE编号

CVE-2024-32472

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-18
漏洞描述
Excalidraw是一个开源的虚拟手绘风格白板。Excalidraw的Web嵌入组件存在存储型跨站脚本漏洞,允许在主机域的上下文中运行任意JavaScript代码。漏洞存在两个向量。一个是未经适当消毒的将不受信任的字符串呈现为iframe的`srcdoc`,从而受到HTML注入攻击。另一个是未能适当消毒以防止属性HTML注入攻击。再加上允许`allow-same-origin`沙盒标志(对于几个嵌入是必要的),导致了跨站脚本攻击。该漏洞已在版本0.17.6和0.16.4中修复。
解决建议
"将组件 @excalidraw/excalidraw 升级至 0.17.6 及以上版本""将组件 @excalidraw/excalidraw 升级至 0.16.4 及以上版本"
参考链接
https://github.com/excalidraw/excalidraw/commit/6be752e1b6d776ccfbd3bb9eea174...
https://github.com/excalidraw/excalidraw/commit/988f81911ca58e3ca2583e0dd44a9...
https://github.com/excalidraw/excalidraw/security/advisories/GHSA-m64q-4jqh-f72f
CVSS3评分 6.1
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 已更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0