从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:解析错误导致XSS - 严重性:高 - 发布者:laurent22 - 漏洞编号:GHSA-g796-3g6g-jmm - 发布时间:3天前 2. 受影响版本: - 受影响版本:3.0.13 - 已修复版本:3.0.15 3. 描述: - 摘要:存在解析错误,允许任意标签注入,导致RCE(远程代码执行)。 - 详细信息:Joplin未能考虑到“<”后面跟着非字母字符将不会被视为HTML。因此,可以通过在标签内插入非法标签来实现XSS。 4. PoC: - 示例代码: 5. 影响: - 影响:导致RCE(远程代码执行) 6. CVSS评分: - 评分:8.6 / 10 - 评分因素: - 攻击向量:本地 - 攻击复杂性:低 - 特权要求:无 - 用户交互:需要 - 范围:已更改 - 机密性:高 - 完整性:高 - 可用性:高 7. CVE编号: - 编号:CVE-2024-40643 8. 弱点: - 无CWEs 9. 贡献者: - 贡献者:febou92 这些信息提供了关于漏洞的详细描述、影响范围和修复情况,有助于理解漏洞的严重性和如何进行修复。