File Upload Vulnerability Leading to XSS in LinkAce v1.15.5 漏洞信息(CVE-2024-56508)

一、漏洞 CVE-2024-56508 基础信息

漏洞标题

LinkAce v1.15.5中的文件上传漏洞导致XSS

来源：AIGC 神龙大模型

漏洞描述信息

LinkAce 是一款自托管的网址收藏工具，用于收集您喜爱的网站链接。在 1.15.6 版本之前，LinkAce 存在一个文件上传漏洞。该问题出现在“导入书签”功能中，允许上传包含 JavaScript 有效载荷的恶意 HTML 文件。当访问上传的链接时，这些有效载荷会被执行，可能导致反射型或持久型 XSS 攻击。此漏洞在 1.15.6 版本中已得到修复。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：AIGC 神龙大模型

漏洞标题

File Upload Vulnerability Leading to XSS in LinkAce v1.15.5

来源：美国国家漏洞数据库 NVD

漏洞描述信息

LinkAce is a self-hosted archive to collect links of your favorite websites. Prior to 1.15.6, a file upload vulnerability exists in the LinkAce. This issue occurs in the "Import Bookmarks" functionality, where malicious HTML files can be uploaded containing JavaScript payloads. These payloads execute when the uploaded links are accessed, leading to potential reflected or persistent XSS scenarios. This vulnerability is fixed in 1.15.6.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

危险类型文件的不加限制上传

来源：美国国家漏洞数据库 NVD

漏洞标题

LinkAce 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

LinkAce是Kevin Woblick个人开发者的一个自托管档案库，用于收集您最喜爱的网站的链接。 LinkAce 1.15.6之前版本存在安全漏洞。攻击者利用该漏洞可以上传包含 JavaScript 有效载荷的恶意 HTML 文件。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-56508 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-56508 的情报信息

标题： File Upload Vulnerability Leading to XSS in LinkAce v1.15.5 · Advisory · Kovah/LinkAce · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
标题： Adjust handling of non-url links during the import process · Kovah/LinkAce@8cf3670 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2024-56508

一、 漏洞 CVE-2024-56508 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-56508 的公开POC

三、漏洞 CVE-2024-56508 的情报信息

一、漏洞 CVE-2024-56508 基础信息