关键漏洞信息 漏洞概述 漏洞名称: Linkify 4.3.1 - Prototype Pollution & HTML Attribute Injection (XSS) CVE ID: CVE-2020-8071 CVSS v3.0 基本评分: 6.8 状态: Fixed 受影响的产品: linkify 受影响的版本: 4.3.1 修复版本: 4.3.2 漏洞描述 漏洞类型: Prototype Pollution, HTML Attribute Injection (XSS) 可远程利用: Yes 漏洞详情: - Prototype Pollution: 攻击者可以通过内部 函数注入恶意属性和访问器,导致原型污染。 - HTML Attribute Injection & XSS: 攻击者可以将事件处理程序注入到生成的链接中,导致存储型或反射型XSS。 PoC (概念验证) 缓解措施 修复版本: 4.3.2 已发布并修复了该漏洞。 参考资料 GitHub Repository 时间线 漏洞发现日期: 2020-05-25 公开披露日期: 2020-05-25