漏洞标题
N/A
漏洞描述信息
embedza 是一个模块,用于从网址创建 HTML 片段/嵌入,该模块使用 oEmbed,Open Graph,元标签的信息来获取 URL。低于 1.2.4 版本的 embedza 会使用 HTTP 协议下载 JavaScript 资源,这使得它容易受到 MITM 攻击。如果攻击者在网络中或位于用户与远程服务器之间,那么有可能通过将请求的 JavaScript 文件替换为攻击者控制的 JavaScript 文件来导致远程代码执行(RCE)。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
embedza is a module to create HTML snippets/embeds from URLs using info from oEmbed, Open Graph, meta tags. embedza versions below 1.2.4 download JavaScript resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested JavaScript file with an attacker controlled JavaScript file if the attacker is on the network or positioned in between the user and the remote server.
CVSS信息
N/A
漏洞类别
敏感数据加密缺失
漏洞标题
embedza 安全漏洞
漏洞描述信息
embedza是一个用于创建HTML的软件包。 embedza 1.2.4之前版本中存在安全漏洞,该漏洞源于程序通过HTTP协议下载JavaScript资源。远程攻击者可通过用攻击者控制的JavaScript文件替换被请求的JavaScript文件利用该漏洞执行代码。
CVSS信息
N/A
漏洞类别
加密问题