RSSHub is vulnerable to cross-site scripting (XSS) via unvalidated URL parameters 漏洞信息(CVE-2023-26491)

一、漏洞 CVE-2023-26491 基础信息

漏洞标题

RSSHub 通过未验证的URL参数容易受到跨站点脚本攻击(XSS)

来源：AIGC 神龙大模型

漏洞描述信息

RSSHub存在跨站脚本(XSS)漏洞，由于未验证的URL参数导致。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

RSSHub is vulnerable to cross-site scripting (XSS) via unvalidated URL parameters

来源：美国国家漏洞数据库 NVD

漏洞描述信息

RSSHub is an open source and extensible RSS feed generator. When the URL parameters contain certain special characters, it returns an error page that does not properly handle XSS vulnerabilities, allowing for the execution of arbitrary JavaScript code. Users who access the deliberately constructed URL are affected. This vulnerability was fixed in version c910c4d28717fb860fbe064736641f379fab2c91. Please upgrade to this or a later version, there are no known workarounds.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

RSSHub 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

RSSHub是由Node.js编写的RSS源生成器，在MIT许可证下发行，由DIYgod及其他GitHub用户维护。 RSSHub存在跨站脚本漏洞。攻击者利用该漏洞执行任意JavaScript代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-26491 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-26491 的情报信息

https://github.com/DIYgod/RSSHub/security/advisories/GHSA-32gr-4cq6-5w5q x_refsource_CONFIRM
https://github.com/DIYgod/RSSHub/commit/c910c4d28717fb860fbe064736641f379fab2c91 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2023-26491

一、 漏洞 CVE-2023-26491 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-26491 的公开POC

三、漏洞 CVE-2023-26491 的情报信息

一、漏洞 CVE-2023-26491 基础信息