FactorJS - Stored Cross-Site Scripting (XSS) in Post Reply Functionality 漏洞信息(CVE-2021-25984)

一、漏洞 CVE-2021-25984 基础信息

漏洞标题

FactorJS - Post回复功能中存在存储型跨站脚本(XSS)漏洞

来源：AIGC 神龙大模型

漏洞描述信息

FactorJS - 存储型跨站脚本攻击（XSS）在“回复功能”中的漏洞

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

FactorJS - Stored Cross-Site Scripting (XSS) in Post Reply Functionality

来源：美国国家漏洞数据库 NVD

漏洞描述信息

In Factor (App Framework & Headless CMS) forum plugin, versions v1.3.3 to v1.8.30, are vulnerable to stored Cross-Site Scripting (XSS) at the “post reply” section. An unauthenticated attacker can execute malicious JavaScript code and steal the session cookies.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

Darwin Factor 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Darwin Factor是美国Darwin公司的一个免费开源的下一代 TypeScript 框架。用于创建博客、登录页面和 JamStack 应用程序。 Darwin Factor 存在跨站脚本漏洞，该漏洞源于容易受到 post reply 部分中存储的跨站点脚本 (XSS) 的攻击。未经身份验证的攻击者可以执行恶意 JavaScript 代码并窃取会话 cookie。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-25984 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-25984 的情报信息

https://github.com/FactorJS/factor/blob/v1.8.30/%40plugins/plugin-forum/topic-reply.vue#L119 x_refsource_MISC
https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25984 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-25984

一、 漏洞 CVE-2021-25984 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-25984 的公开POC

三、漏洞 CVE-2021-25984 的情报信息

一、漏洞 CVE-2021-25984 基础信息