一、 漏洞 CVE-2022-31191 基础信息
漏洞标题
在DSpace JSPUI的 spellcheck 和 autocomplete 工具中可以实现跨站脚本
来源:AIGC 神龙大模型
漏洞描述信息
DSpace JSPUI拼写检查和自动完成工具可能存在跨站脚本攻击。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Cross Site Scripting possible in DSpace JSPUI spellcheck and autocomplete tools
来源:美国国家漏洞数据库 NVD
漏洞描述信息
DSpace open source software is a repository application which provides durable access to digital resources. dspace-jspui is a UI component for DSpace. The JSPUI spellcheck "Did you mean" HTML escapes the data-spell attribute in the link, but not the actual displayed text. Similarly, the JSPUI autocomplete HTML does not properly escape text passed to it. Both are vulnerable to XSS. This vulnerability only impacts the JSPUI. Users are advised to upgrade. There are no known workarounds for this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Dspace 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Dspace是DuraSpace社区的一个开源的交钥匙存储库应用程序。 DSpace 6.4之前版本存在跨站脚本漏洞,该漏洞源于dspace-jspui中不会转义实际显示的文本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-31191 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-31191 的情报信息