0x01
漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 已公开 已公开 已公开 存在 |
0x02
漏洞描述
Swagger UI 是一个受欢迎的开源工具,可帮助用户在没有任何实现逻辑的情况下可视化API资源并与之交互。
Swagger-UI中存在跨站脚本漏洞,虽然该漏洞已在2020年12月被修复,但截止2022年5月16日,研究人员仍然可以在Paypal、Atlassian、Microsoft、GitLab、Yahoo等网站中发现漏洞的实例,目前此漏洞的PoC已公开,攻击者可以利用此漏洞窃取用户的 CSRF token并接管受害者的帐户,建议使用受影响版本 Swagger UI的客户及时采取措施。
Swagger-UI 跨站脚本漏洞 漏洞编号 暂无 漏洞类型 跨站脚本漏洞 漏洞等级 中危 公开状态 存在 在野利用 存在 漏洞描述 由于Swagger UI中使用了过时的库DOMpurify,导致了由查询参数控制的DOM XSS漏洞,该漏洞允许攻击者在页面上注入任何属性的HTML元素(脚本标签除外)。 |
0x03
漏洞等级
中危
0x04
影响版本
3.14.1<= Swagger UI < 3.38.0
0x05
修复建议
目前此漏洞 3.38.0 已经修复,建议受影响用户及时升级更新Swagger UI到最新版本。
下载链接:
https://github.com/swagger-api/swagger-ui/releases
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
很赞哦! (119)
上一篇:注意更新 | Zyxel 防火墙及AP设备多个安全漏洞
下一篇:越权访问测试
网盾网络安全培训学校,课程内容紧跟互联网安全技术发展与企业实际用人需求,不断升级更新。
学员可以深入接触web安全基础、漏洞分析、安全测试、渗透测试等全栈解决方案,掌握网络安全分析及解决方案,成长为真正的网络安全人才。