正文

smartbear swagger_ui 在web页面生成时对输入的转义处理不恰当(跨站脚本)

admin
admin V管理员 /0 评论 /22 阅读
0422
此篇文章发布距今已超过1148天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2019-17495

利用情况

暂无

补丁情况

N/A

披露时间

2019-10-11
漏洞描述
Swagger UI是一款支持可视化API资源并能够与之进行交互的开源工具。
Swagger UI 3.23.11之前版本中存在注入漏洞,攻击者可利用该漏洞泄露信息(例如:跨站请求伪造令牌值)。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/swagger-api/swagger-ui/releases/tag/v3.23.11
参考链接
https://github.com/swagger-api/swagger-ui/releases/tag/v3.23.11
https://github.com/tarantula-team/CSS-injection-in-Swagger-UI
https://lists.apache.org/thread.html/r103579b01da2d0aa0f672b88f811224bbf8ef49...
https://lists.apache.org/thread.html/r3acb7e494cf1aab99b6784b7c5bbddfd0d4f8a4...
https://lists.apache.org/thread.html/r84b327f7a8b6b28857b906c07a66dd98e1d3411...
https://lists.apache.org/thread.html/r853ffeb915a400f899de78124d4e0d77a19379d...
https://lists.apache.org/thread.html/ref70b940c4f69560d29d6ba792d6c82865e74de...
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2020.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 smartbear swagger_ui * Up to
(excluding)
3.23.11
CVSS3评分 9.8
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-352 跨站请求伪造(CSRF) CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)