wireui 中路由 /wireui/button?label=Content 上的跨站点脚本 (XSS) 漏洞 (CVE-2024-45803)
CVE编号
CVE-2024-45803利用情况
暂无补丁情况
N/A披露时间
2024-09-18漏洞描述
Wire UI 是一个用于 Laravel 和 Livewire 应用开发的组件和资源库。在 `/wireui/button` 端点中发现了一个潜在的跨站脚本(Cross-Site Scripting,XSS)漏洞,具体通过 `label` 查询参数暴露。恶意攻击者可以通过向 `label` 参数注入 JavaScript 来利用此漏洞,导致在受害者浏览器中执行任意代码。`/wireui/button` 端点会根据用户提供的输入动态呈现按钮标签,该输入通过 `label` 查询参数提供。由于对此输入的清理或转义不足,攻击者可以注入恶意 JavaScript。通过构建这样的请求,攻击者可以注入任意代码,当访问该端点时,浏览器将执行这些代码。如果漏洞被利用,攻击者可以在受影响的网站上下文中执行任意 JavaScript 代码。这可能导致:会话劫持:窃取会话 cookie、令牌或其他敏感信息。用户伪装:代表已认证的用户执行未经授权的操作。网络钓鱼:将用户重定向到恶意网站。内容操纵:更改受影响页面的外观或行为以误导用户或执行进一步的攻击。此漏洞的严重性取决于受影响组件的使用环境,但在所有情况下,它都对用户安全构成了重大威胁。此问题已在 1.19.3 和 2.1.3 版本中得到解决。建议用户进行升级。目前尚无已知的解决方案。解决建议
"将组件 wireui/wireui 升级至 1.19.3 及以上版本""将组件 wireui/wireui 升级至 2.1.3 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论