PT-2024-32392 · Layui · Layui
Ishmeals
+1
·
Publicado
2024-09-26
·
Atualizado
2025-08-15
·
CVE-2024-47075
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do LayUI anteriores à 2.9.17
Descrição
O problema está relacionado a uma vulnerabilidade de tipo DOM Clobbering que pode levar a um ataque de Cross-site Scripting (XSS) em páginas da web onde estejam presentes elementos HTML controlados pelo invasor, como tags
img com atributos name não sanitizados. Essa vulnerabilidade pode ser explorada devido à presença de atributos não sanitizados em elementos HTML.Recomendações
Para versões anteriores à 2.9.17, atualize para a versão 2.9.17 para corrigir o problema. Como solução temporária, considere sanitizar entradas controladas pelo usuário, especialmente atributos de elementos HTML como
name em tags img, para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Layui