目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2024-21485— Dash 安全漏洞

CVSS 6.5 · Medium EPSS 0.91% · P76
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2024-21485の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
N/A
ソース: NVD (National Vulnerability Database)
脆弱性説明
Versions of the package dash-core-components before 2.13.0; versions of the package dash-core-components before 2.0.0; versions of the package dash before 2.15.0; versions of the package dash-html-components before 2.0.0; versions of the package dash-html-components before 2.0.16 are vulnerable to Cross-site Scripting (XSS) when the href of the a tag is controlled by an adversary. An authenticated attacker who stores a view that exploits this vulnerability could steal the data that's visible to another user who opens that view - not just the data already included on the page, but they could also, in theory, make additional requests and access other data accessible to this user. In some cases, they could also steal the access tokens of that user, which would allow the attacker to act as that user, including viewing other apps and resources hosted on the same server. **Note:** This is only exploitable in Dash apps that include some mechanism to store user input to be reloaded by a different user.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Dash 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
plotly Dash是plotly公司的一款适用于 Python 的数据应用程序和仪表板。 Dash存在安全漏洞。攻击者利用该漏洞可以窃取数据。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
-dash-core-components 0 ~ 2.13.0 -
-dash-core-components 0 ~ 2.0.0 -
-dash 0 ~ 2.15.0 -
-dash-html-components 0 ~ 2.0.0 -
-dash-html-components 0 ~ 2.0.16 -

II. CVE-2024-21485の公開POC

#POC説明ソースリンクShenlongリンク
1Dash framework versions before 2.15.0 are vulnerable to Cross-site Scripting (XSS) via href attribute in anchor tags. This template tests for javascript:alert payload injection. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-21485.yamlPOC詳細
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2024-21485のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · n/a · 2024-02-02 · 33 CVEs total

CVE-2024-227798.8 HIGHServerRPExposer 安全漏洞
CVE-2024-11986.3 MEDIUMopenBI Phar User.php addxinzhi deserialization
CVE-2024-11895.3 MEDIUMAMPPS Encryption Passphrase denial of service
CVE-2024-11933.3 LOWNavicat MySQL Conecction denial of service
CVE-2023-39611Software FX Chart FX 安全漏洞
CVE-2024-25006XenForo 安全漏洞
CVE-2023-48645ARCHIBUS 安全漏洞
CVE-2023-50488Blurams Lumi Security Camera 安全漏洞
CVE-2023-51072Nagios XI 安全漏洞
CVE-2023-51820Blurams Lumi Security Camera 安全漏洞
CVE-2024-24388XunRuiCMS 安全漏洞
CVE-2023-51838MeshCentral 安全漏洞
CVE-2024-22107GTB Central Console 安全漏洞
CVE-2024-22108GTB Central Console 安全漏洞
CVE-2024-24029JFinalCMS 安全漏洞
CVE-2024-24160MRCMS 安全漏洞
CVE-2024-24161MRCMS 安全漏洞
CVE-2024-24470flusity CMS 安全漏洞
CVE-2024-24524flusity CMS 安全漏洞
CVE-2024-22851LiveConfig 安全漏洞

Showing 20 of 33 CVEs. View all on vendor page →

IV. 関連脆弱性

同じベンダー: n/a
同じ弱点: CWE-79

V. CVE-2024-21485へのコメント

まだコメントはありません

コメントを残す