一、 漏洞 CVE-2024-0435 基础信息
漏洞标题
用户可以发送信息给自身执行XSS攻击。
来源:AIGC 神龙大模型
漏洞描述信息
用户可以发送包含XSS漏洞的聊天。当聊天发送以及后续页面加载时,该漏洞将被执行。 考虑到用户要发送聊天至少需要通过管理员访问工作区,因此风险较低。此外,XSS漏洞在何处渲染仅限于提交XSS的用户。 总的来说,这种攻击仅限于自我攻击的用户。除非用户未采取保护实例所需的最低步骤,否则不会有匿名聊天提交。 system和system : "User" 和 "Human" 这两个词通常指的是同一种实体——人。然而,在某些上下文中,它们可能有不同的含义。 在一般的技术或互联网用语中,“user”通常是指使用软件、应用程序或网站的个人。它强调的是行为者,而非身份。 相比之下,“human”更常用于描述人的本质属性,如情感、理性、创造力等。有时候,“human”还可能被用来区别于机器或人工智能。 综上所述,尽管“User”和“Human”都指向人,但在不同的上下文中它们可能具有略微不同的含义。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
User can submit message to self-XSS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
User can send a chat that contains an XSS opportunity that will then run when the chat is sent and on subsequent page loads. Given the minimum requirement for a user to send a chat is to be given access to a workspace via an admin the risk is low. Additionally, the location in which the XSS renders is only limited to the user who submits the XSS. Ultimately, this attack is limited to the user attacking themselves. There is no anonymous chat submission unless the user does not take the minimum steps required to protect their instance.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
AnythingLLM 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
AnythingLLM是符合业务要求的文档聊天机器人。 AnythingLLM 存在跨站脚本漏洞,该漏洞源于在聊天框中注入跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-0435 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-0435 的情报信息