Platejs 中的 element.attributes 和 leaf.attributes 中的任意 DOM 属性 (CVE-2024-47061)
CVE编号
CVE-2024-47061利用情况
暂无补丁情况
N/A披露时间
2024-09-21漏洞描述
关于 Plate 这个 JavaScript 工具包,它旨在帮助开发者使用 Slate(一个流行的文本编辑器构建框架)进行开发。Plate 的一个长期功能是通过 `attributes` 属性向任何元素或叶子节点添加自定义 DOM 属性。这些属性通过 `nodeProps` 属性传递给节点组件。然而,我们发现这一功能可能被用于恶意目的,包括跨站脚本攻击(XSS)和信息泄露(特别是用户的 IP 地址以及他们是否打开了恶意文档)。值得注意的是,通过属性进行信息泄露的风险仅适用于那些通常不允许向任意 URL 发起网络请求的情境。例如,允许用户嵌入来自任意 URL 的图片的 Plate 编辑器已经存在向第三方泄露用户 IP 地址的风险。所有使用受影响版本的 @udecode/plate-core 的 Plate 编辑器都面临着通过 style 属性以及其他能够触发网络请求的属性的信息泄露攻击风险。此外,Plate 编辑器是否容易受到利用属性的跨站脚本攻击取决于多种因素。最有可能受到攻击的 DOM 属性分别是链接的 href 属性和内联框架的 src 属性。任何将 {...nodeProps} 扩展到 <a> 或 <iframe> 元素且稍后不覆盖 href 或 src 的组件都将容易受到 XSS 攻击。在已修复的 Plate 版本中,我们已经默认禁用了大多数属性名称的元素属性和叶子节点属性,但链接、图片、视频、表格单元格和表头单元格插件的 target、alt、width、height、colspan 和 rowspan 等属性除外。如果这对您的应用造成了破坏性改变,您可以有选择地为某些插件重新启用属性。请仔细研究和评估您允许的任何属性的安全影响,因为即使是看似无害的属性(如 style)也可能被恶意使用。如果您无法升级到任何已修复的版本,您应该使用如 patch-package 或 yarn patch 等工具来移除 @udecode/plate-core 中向 nodeProps 添加属性的逻辑。解决建议
"将组件 @udecode/plate-core 升级至 38.0.6 及以上版本""将组件 @udecode/plate-core 升级至 36.5.9 及以上版本""将组件 @udecode/plate-core 升级至 21.5.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/udecode/plate/security/advisories/GHSA-73rg-f94j-xvhx | |
| https://www.npmjs.com/package/patch-package | |
| https://yarnpkg.com/cli/patch |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论