一、 漏洞 CVE-2023-40013 基础信息
漏洞标题
在外部SVGLoader中生成网页时的错误输入中立化
来源:AIGC 神龙大模型
漏洞描述信息
在external-svg-loader中的Web页面生成期间输入不当的中和('跨站脚本')
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in external-svg-loader
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SVG Loader is a javascript library that fetches SVGs using XMLHttpRequests and injects the SVG code in the tag's place. According to the docs, svg-loader will strip all JS code before injecting the SVG file for security reasons but the input sanitization logic is not sufficient and can be trivially bypassed. This allows an attacker to craft a malicious SVG which can result in Cross-site Scripting (XSS). When trying to sanitize the svg the lib removes event attributes such as `onmouseover`, `onclick` but the list of events is not exhaustive. Any website which uses external-svg-loader and allows its users to provide svg src, upload svg files would be susceptible to stored XSS attack. This issue has been addressed in commit `d3562fc08` which is included in releases from 1.6.9. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
SVG Loader 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SVG Loader是一个简单的 JS 库,它使用 XHR 获取 SVG 并将 SVG 代码注入到标签的位置。 SVG Loader 1.6.8版本及之前版本存在跨站脚本漏洞,该漏洞源于输入清理逻辑不够,可以轻松绕过。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-40013 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-40013 的情报信息