Markdown 编辑器中的存储型跨站点脚本漏洞 (CVE-2024-47610)
CVE编号
CVE-2024-47610利用情况
暂无补丁情况
N/A披露时间
2024-10-08漏洞描述
InvenTree是一个开源的库存管理系统。在某些版本的InvenTree中,注册用户可以在markdown笔记字段中存储javascript代码,当其他登录用户访问同一页面时,这些代码会被显示并执行。针对此漏洞,已经采取了以下措施:1. 在前端markdown渲染库`easymde`中启用了HTML净化功能。2. 存储的markdown也在后端进行了验证,以确保恶意markdown代码不会被存储在数据库中。这些更改在版本0.16.5及以后的版本中可用。建议所有用户进行升级。没有其他的解决方案,必须更新以获得新的验证功能。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/inventree/InvenTree/commit/6e37f0cd8ba5fc527412f18f66cd6a3... | |
| https://github.com/inventree/InvenTree/security/advisories/GHSA-wp3m-jhgv-rhqr |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论