WebFeed HTML 注入漏洞(CVE-2024-50346)
CVE编号
CVE-2024-50346利用情况
暂无补丁情况
N/A披露时间
2024-11-05漏洞描述
WebFeed 是一个适用于 Firefox/Chrome 的轻量级网络订阅阅读插件。WebFeed 中的多个 HTML 注入漏洞可能导致 CSRF 和 UI 钓鱼攻击。远程攻击者可以提供恶意 RSS 订阅源,并使用 WebFeed 吸引受害者用户访问。然后攻击者可以向插件页面注入恶意 HTML,欺骗受害者向任意网站发送带有受害者凭据的 HTTP 请求。当通过 WebFeed 访问恶意 RSS 订阅源时,用户容易受到 CSRF 攻击。可以在任意网站上执行对用户的未经授权操作。该问题已在 0.9.2 版本中得到解决。建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/taoso/webfeed/commit/a2d1c1c3a98f30e0bd7a1bbcb746fae484985e6d | |
| https://github.com/taoso/webfeed/security/advisories/GHSA-mrc7-2q3w-48j8 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论