Squidex“/squid.svg”端点中的XSS漏洞(CVE-2023-24278)
CVE编号
CVE-2023-24278利用情况
暂无补丁情况
N/A披露时间
2023-03-16漏洞描述
“无头”开源CMS框架squid被发现在“/squid.svg”端点中有两个反映的XSS漏洞 影响7.4.0以前的版本。这些漏洞已在框架的7.4.0版本中得到解决。 CVE-2023-24278是由MITRE分配给这些漏洞的。 这些漏洞同时影响已验证和未验证的用户,并允许在受害用户浏览器中执行的恶意JavaScript。此外,漏洞允许击者从浏览器本地存储收集CMS身份验证令牌,因此,攻击者有可能获得对受害者用户会话的未经授权的访问。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://census-labs.com/news/2023/03/16/reflected-xss-vulnerabilities-in-squi... | |
| https://seclists.org/oss-sec/2023/q1/160 | |
| https://www.openwall.com/lists/oss-security/2023/03/16/1 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | squidex.io | squidex | * | Up to (excluding) 7.4.0 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论