关键信息 漏洞名称: XSS vector in slide mode speaker-view 发布者: davidmehren GHSA id: GHSA-j748-779h-9697 发布日期: Aug 30, 2021 漏洞严重性: High (8.1/10) 受影响版本: Package: HedgeDoc Affected versions: <1.9.0 已修复版本: Patched versions: 1.9.0 漏洞描述: 影响: 未认证的攻击者可以通过在幻灯片模式的讲者注释功能中嵌入一个恶意代码的iframe或通过将HedgeDoc实例嵌入到另一个页面中注入任意JavaScript。 修复措施: 移除了 内容安全策略,禁止注入任意 标签。 从内容安全策略中移除了Google Analytics,因为它是一种绕过CSP的常见方式。 添加了一个配置选项,禁止其他页面嵌入HedgeDoc实例。 漏洞详情: CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: Required - Scope: Unchanged - Confidentiality, Integrity: High - Availability: None CVE ID: CVE-2021-39175 Weaknesses: CWE-74, CWE-346 补充信息: 工作区: 主要的修复措施是移除unsafe-inline CSP,这需要对前端代码和构建基础设施进行许多更改,这些更改不能轻松地应用于较旧的HedgeDoc实例。 联系方式: 在我们的社区论坛上开设一个主题。 加入我们的matrix room。