以下是该网页截图中关于漏洞的关键信息简洁的Markdown格式: 关键信息 漏洞类型: Cross-site Scripting (XSS) 受影响的包: org.webjars.npm:vueitify 受影响版本: [2.6.11] 漏洞ID: CVE-2022-25873, CWE-79 严重性: 中等 (4.6) 漏洞引入日期: 2022年9月9日 修复方法: 升级org.webjars.npm:vueitify到2.6.11或更高版本。 威胁情报 漏洞利用成熟度: 有概念验证 EPSS: 0.53% (第67百分位) 漏洞详情 org.webjars.npm:vueitify是一个为Vue.js设计的Material Design组件框架。 受影响版本由于VCalendar组件中的‘eventName’函数输入处理不当而容易受到跨站脚本攻击(XSS)。 XSS是一个代码漏洞,攻击者可以通过注入恶意脚本来攻击用户的浏览器。 攻击类型 存储型: 由服务器端注入恶意代码,每次用户点击链接时激活。 反射型: 攻击者从外部传递一个恶意链接给用户,用户点击后,恶意代码发送到易受攻击的网站,然后被反射回用户的浏览器。 DOM基础型: 攻击者迫使用户的浏览器呈现一个恶意页面。 变形攻击: 攻击者注入看似安全的代码,但被浏览器解释和修改。 受影响的环境 网络服务器、应用程序服务器、Web应用环境。 防御手段 对HTTP请求中的数据进行清洗,转换特殊字符,给用户禁用客户端脚本的选项等。 引用参考 [Codepen PoC] [GitHub Commit] [GitHub Issue] CVSS基础评分 Snyk: 4.6 (中等) NVD: 5.4 (中等)