漏洞标题
N/A
漏洞描述信息
Nunjucks 是一个全面的 JavaScript 模板引擎。2.4.2 版本以下在自动 escape 模式中有跨站脚本(XSS)漏洞。在自动 escape 模式中,所有模板变量都应该自动 escape。通过使用数组作为键,例如 `name[]=<script>alert(1)</script>`,可以绕过自动 escape 并注入内容到 DOM。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Nunjucks is a full featured templating engine for JavaScript. Versions 2.4.2 and lower have a cross site scripting (XSS) vulnerability in autoescape mode. In autoescape mode, all template vars should automatically be escaped. By using an array for the keys, such as `name[]=<script>alert(1)</script>`, it is possible to bypass autoescaping and inject content into the DOM.
CVSS信息
N/A
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Nunjucks 安全漏洞
漏洞描述信息
Nunjucks是一个基于JavaScript的全功能模板引擎。 Nunjucks 2.4.2及之前版本中的autoescape模式存在跨站脚本漏洞,该漏洞源于程序没有转义结构化的用户输入。远程攻击者可利用该漏洞绕过自动转义并向文档对象模型(DOM)注入内容。
CVSS信息
N/A
漏洞类别
跨站脚本