adonisjs edge 在web页面生成时对输入的转义处理不恰当（跨站脚本）

admin

0
文章

0
评论

2023-11-30 19:41:15 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 adonisjs edge 在web页面生成时对输入的转义处理不恰当（跨站脚本）

CVE编号

CVE-2021-23443

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-09-22

漏洞描述

This affects the package edge.js before 5.3.2. A type confusion vulnerability can be used to bypass input sanitization when the input to be rendered is an array (instead of a string or a SafeValue), even if {{ }} are used.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/edge-js/edge/commit/fa2c7fde86327aeae232752e89a6e37e2e469e21
https://snyk.io/vuln/SNYK-JS-EDGEJS-1579556

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	adonisjs	edge	*		Up to (excluding) 5.3.2

攻击路径本地
攻击复杂度困难
权限要求普通权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-843	使用不兼容类型访问资源（类型混淆）