wireui 中路由 /wireui/button?label=Content 上的跨站点脚本 (XSS) 漏洞 (CVE-2024-45803)

admin 2024-09-19 12:57:42 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
wireui 中路由 /wireui/button?label=Content 上的跨站点脚本 (XSS) 漏洞 (CVE-2024-45803)

CVE编号

CVE-2024-45803

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-18
漏洞描述
Wire UI 是一个用于 Laravel 和 Livewire 应用开发的组件和资源库。在 `/wireui/button` 端点中发现了一个潜在的跨站脚本(Cross-Site Scripting,XSS)漏洞,具体通过 `label` 查询参数暴露。恶意攻击者可以通过向 `label` 参数注入 JavaScript 来利用此漏洞,导致在受害者浏览器中执行任意代码。`/wireui/button` 端点会根据用户提供的输入动态呈现按钮标签,该输入通过 `label` 查询参数提供。由于对此输入的清理或转义不足,攻击者可以注入恶意 JavaScript。通过构建这样的请求,攻击者可以注入任意代码,当访问该端点时,浏览器将执行这些代码。如果漏洞被利用,攻击者可以在受影响的网站上下文中执行任意 JavaScript 代码。这可能导致:会话劫持:窃取会话 cookie、令牌或其他敏感信息。用户伪装:代表已认证的用户执行未经授权的操作。网络钓鱼:将用户重定向到恶意网站。内容操纵:更改受影响页面的外观或行为以误导用户或执行进一步的攻击。此漏洞的严重性取决于受影响组件的使用环境,但在所有情况下,它都对用户安全构成了重大威胁。此问题已在 1.19.3 和 2.1.3 版本中得到解决。建议用户进行升级。目前尚无已知的解决方案。
解决建议
"将组件 wireui/wireui 升级至 1.19.3 及以上版本""将组件 wireui/wireui 升级至 2.1.3 及以上版本"
参考链接
https://github.com/wireui/wireui/commit/784c4f110e58eb41d0f2bdecd4655ea417f16e7e
https://github.com/wireui/wireui/commit/a457654912055f4dcc559da04d4e319f76b80fc5
https://github.com/wireui/wireui/security/advisories/GHSA-rw5h-g8xq-6877
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-8900利用情况 暂无补丁情况 N/A披露时间 2024-09-18漏洞描述An attacker could writ
评论:0   参与:  0