从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Cross-site Scripting (XSS) 2. 受影响的包:markdown-to-jsx 3. 受影响的版本范围:<7.4.0 4. 引入日期:2024年2月20日 5. CVSS评分:5.3(中等) 6. 如何修复:升级markdown-to-jsx到版本7.4.0或更高。 7. 漏洞描述: - markdown-to-jsx是一个轻量级、可定制的React Markdown组件。 - 影响版本的包通过src属性接受恶意输入,导致Cross-site Scripting (XSS)漏洞。 - 攻击者可以通过在markdown中注入恶意iframe元素来执行任意代码。 8. 代码示例: 9. 类型: - 存储型(Stored) - 反射型(Reflected) - DOM型(DOM-based) - 变异型(Mutated) 10. 受影响的环境: - Web服务器 - 应用程序服务器 - Web应用程序环境 11. 如何预防: - 对HTTP请求中的数据输入进行清理,确保所有数据都经过验证、过滤或转义。 - 使用HTML或URL编码特殊字符。 - 给用户选项禁用客户端脚本。 - 重定向无效请求。 - 检测来自不同IP地址的并发登录,并撤销这些会话。 - 使用并强制执行内容安全策略(CSP)。 - 阅读代码中引用的任何库的文档,了解哪些元素允许嵌入HTML。 12. 参考链接: - GitHub Commit 这些信息可以帮助开发者了解漏洞的性质、影响范围以及如何修复和预防。