漏洞标题
N/A
漏洞描述信息
在 Progress Kendo UI Editor v2018.1.221 中,跨站点脚本(XSS)漏洞允许远程攻击者向WYSIWYG编辑器的DOM注入任意JavaScript。由于kendo.all.min.js中的editorNS.Serializer toEditableHtml函数,该漏洞允许攻击者通过在编辑器中执行恶意代码来绕过编辑器的验证。如果受害者访问编辑器,则漏洞将被执行。此外,如果恶意代码在任何依赖编辑器本身验证的其他资源中显示,则应用程序上下文中的JavaScript负载将被执行。这允许攻击者(在最坏情况下)接管用户的会话。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting (XSS) vulnerability in Progress Kendo UI Editor v2018.1.221 allows remote attackers to inject arbitrary JavaScript into the DOM of the WYSIWYG editor because of the editorNS.Serializer toEditableHtml function in kendo.all.min.js. If the victim accesses the editor, the payload gets executed. Furthermore, if the payload is reflected at any other resource that does rely on the sanitisation of the editor itself, the JavaScript payload will be executed in the context of the application. This allows attackers (in the worst case) to take over user sessions.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Progress Kendo UI Editor 跨站脚本漏洞
漏洞描述信息
Progress Kendo UI Editor是美国Progress Software公司的一款富文本编辑器。 Progress Kendo UI Editor 2018.1.221版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞向WYSIWYG editor的DOM注入任意JavaScript代码。
CVSS信息
N/A
漏洞类别
跨站脚本