Easy Demo Importer – A Modern One-Click Demo Import Solution <= 1.1.2 - Authenticated (Author+) Stored Cross-Site Scripting via SVG File Upload (CVE-2024-9071)

CVE编号

CVE-2024-9071

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-04

漏洞描述

Easy Demo Importer插件存在跨站脚本存储漏洞，该漏洞存在于所有版本直至并包括1.1.2版本。该漏洞是由于输入清理和输出转义不足导致的。通过上传SVG文件，拥有作者级别及以上权限的认证攻击者可以在用户访问SVG文件时执行任意网页脚本。这是一个现代的一键式演示导入解决方案插件。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接

CVSS3评分 6.4

• 攻击路径 N/A
• 攻击复杂度 N/A
• 权限要求 N/A
• 影响范围 N/A
• 用户交互 N/A
• 可用性 N/A
• 保密性 N/A
• 完整性 N/A

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com