一、 漏洞 CVE-2024-56510 基础信息
漏洞标题
Marp Core 由于 HTML 清洗不当导致的 XSS 漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Marp生态系统的内核@marp-team/marp-core允许用户使用纯Markdown编写演示文稿。从Marp Core v3.0.2到v3.9.0以及v4.0.0版本,由于HTML净化不当,存在跨站脚本(XSS)漏洞。Marp Core v3.9.1和v4.0.1版本已经修复了该漏洞。如果无法立即更新该包,请通过在Marp类构造函数中设置html: false选项来禁用所有HTML标签。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Marp Core allows XSS by improper neutralization of HTML sanitization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
@marp-team/marp-core is the core for Marp, which is the ecosystem to write your presentation with plain Markdown. Marp Core from v3.0.2 to v3.9.0 and v4.0.0, are vulnerable to cross-site scripting (XSS) due to improper neutralization of HTML sanitization. Marp Core v3.9.1 and v4.0.1 have been patched to fix that. If you are unable to update the package immediately, disable all HTML tags by setting html: false option in the Marp class constructor.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
marp-core 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
marp-core是Marp开源的一个 Marp 转换器的核心。 marp-core v3.0.2版本至v3.9.0版本和v4.0.0版本存在跨站脚本漏洞,该漏洞源于对HTML清理的中和不当,容易受到跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-56510 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-56510 的情报信息

  • 标题: Preserve HTML comments within html block by yhatt · Pull Request #282 · marp-team/marp-core · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Preserve HTML comments within html block by yhatt · Pull Request #282 · marp-team/marp-core · GitHub

  • 标题: Release v3.9.1 · marp-team/marp-core · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Release v3.9.1 · marp-team/marp-core · GitHub

  • 标题: Release v4.0.1 · marp-team/marp-core · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Release v4.0.1 · marp-team/marp-core · GitHub

  • 标题: Marp Core allows XSS by improper neutralization of HTML sanitization · Advisory · marp-team/marp-core · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    Marp Core allows XSS by improper neutralization of HTML sanitization · Advisory · marp-team/marp-core · GitHub

  • 标题: Merge commit from fork · marp-team/marp-core@61a1def · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Merge commit from fork · marp-team/marp-core@61a1def · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-56510