Scully框架XSS漏洞分析与修复指南

本文详细分析了@scullyio/scully框架中存在的跨站脚本攻击(XSS)漏洞CVE-2020-28470,包括受影响版本、漏洞原理、修复方案以及相关的安全评分和参考资源。

Cross-site Scripting (XSS) in @scullyio/scully · CVE-2020-28470

漏洞详情

受影响包

  • npm: @scullyio/ng-lib

    • 受影响版本: < 1.0.1
    • 修复版本: 1.0.1

  • npm: @scullyio/scully

    • 受影响版本: < 1.0.9
    • 修复版本: 1.0.9

漏洞描述

该漏洞影响@scullyio/scully 1.0.9之前的版本。传输状态使用JSON.stringify()函数进行序列化,然后写入HTML页面中,存在安全风险。

参考链接

安全评分

严重程度

  • 高危 - CVSS总体评分:7.3/10

CVSS v3基础指标

  • 攻击向量: 网络
  • 攻击复杂度: 低
  • 所需权限: 无
  • 用户交互: 无
  • 作用范围: 未改变
  • 机密性影响: 低
  • 完整性影响: 低
  • 可用性影响: 低

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

EPSS评分

  • 0.3% (第53百分位)

弱点分类

  • 弱点: CWE-79
  • 描述: 在网页生成过程中对输入的不当中和(跨站脚本)
  • 详情: 产品在将用户可控的输入放置到提供给其他用户的网页输出之前,未能正确中和或错误地中和这些输入。

标识符

  • CVE ID: CVE-2020-28470
  • GHSA ID: GHSA-r96p-v3cr-gfv8

时间线

  • 国家漏洞数据库发布: 2021年1月14日
  • GitHub审核: 2021年4月6日
  • GitHub咨询数据库发布: 2021年4月13日
  • 最后更新: 2025年10月20日
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次