Wiki.js 跨站脚本漏洞 CVE-2021-25993 CNNVD-202112-2769 CNVD-2022-09774
3.5
AV
AC
AU
C
I
A
发布:
2021-12-29
修订:
2024-11-21
Wiki.js是Requarks.io团队的一套基于Node.js并使用JavaScript语言编写的开源Wiki软件。 Wiki.js 2.0.0 beta.147 到 2.5.255版本存在跨站脚本漏洞,该漏洞源于软件中wiki.js缺少对于用户参数的有效过滤和转义,低权限用户在上传页面资产时可以上传包含恶意JavaScript的SVG文件。这将向服务器发送JWT令牌,并在受害者访问时导致帐户接管。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有15条受影响产品信息
