关键信息 漏洞类型 Cross-site Scripting (XSS) 影响的包和版本 org.webjars.bower.jsondiffpatch 包,版本 [1.0] 严重性 CVSS Base Score: 2.3 Severity: LOW 漏洞描述 Overview: 是一个 JSON diff & patch 库,受影响的版本容易受到通过 HtmlFromatter::nodeBegin 方法注入恶意脚本的跨站脚本攻击。如果未受信任的补丁被用作源进行 diff,并且结果在私有网站上使用内置的 Html formatter 渲染,则可能导致代码执行。 攻击类型 Stored XSS: 恶意代码存储在应用程序中。 Reflected XSS: 恶意链接直接从易受攻击的网站反射到用户的浏览器。 DOM-based XSS: 攻击者强制用户浏览器渲染恶意页面。 Mutated XSS: 攻击者注入看似安全的代码,但在解析时被修改。 受影响环境 Web servers Application servers Web application environments 如何修复 推送了一个修复到 master 分支,但尚未发布。 最佳实践包括:对 HTTP 请求中的所有数据输入进行清理、转换特殊字符、禁用客户端脚本、限制无效请求、检测异常登录等。 CVSS Base Scores Version 4.0: 2.3 LOW Version 3.1: 2.3 LOW 其他信息 Published: 10 Sept 2025 Disclosed: 4 Mar 2025 Credit: zenide