一、 漏洞 CVE-2021-41184 基础信息
漏洞标题
将 `.position()` 函数的 `of` 选项设置为 `"<img src='https://picsum.photos/300'>"` 会导致 XSS 攻击。
来源:AIGC 神龙大模型
漏洞描述信息
在`.position()`实用程序的`of`选项中的XSS
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
XSS in the `of` option of the `.position()` util
来源:美国国家漏洞数据库 NVD
漏洞描述信息
jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `of` option of the `.position()` util from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `of` option is now treated as a CSS selector. A workaround is to not accept the value of the `of` option from untrusted sources.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Openjs Jquery Ui 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Openjs Jquery Ui是Openjs基金会的一款基于Javascript语言用于创建交互式用户界面的代码库。 Openjs Jquery Ui 1.13.0之前版本存在跨站脚本漏洞,攻击者可以通过.position()选项的值执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-41184 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/gabrielolivra/Exploit-Medium-CVE-2021-41184 POC详情
三、漏洞 CVE-2021-41184 的情报信息