阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
N/A
CVE-2024-47075
layui 中发现可导致跨站点脚本攻击的 DOM Clobbering 小工具 (CVE-2024-47075)
CVE编号
CVE-2024-47075
利用情况
暂无
补丁情况
N/A
披露时间
2024-09-27
漏洞描述
LayUI是一个原生极简的模块化Web用户界面组件库。在版本2.9.17之前,存在一个DOM覆盖漏洞(DOM Clobbering vulnerability),可能导致在存在攻击者控制的HTML元素(例如带有未经验证的名称属性的img标签)的网页上出现跨站脚本攻击(Cross-site Scripting,简称XSS)。版本2.9.17修复了这个问题。
解决建议
"将组件 layui 升级至 2.9.17 及以上版本"
参考链接
https://github.com/layui/layui/commit/f756b41d63bf3d488a2cb042918638c9851bf2b0
https://github.com/layui/layui/security/advisories/GHSA-j827-6rgf-9629
CVSS3评分
N/A
攻击路径
N/A
攻击复杂度
N/A
权限要求
N/A
影响范围
N/A
用户交互
N/A
可用性
N/A
保密性
N/A
完整性
N/A
CWE-ID
漏洞类型
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×