在野利用 | Swagger-UI 跨站腳本漏洞
VSole2022-05-25 14:51:28
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 已公開 已公開 已公開 存在 |
0x02
漏洞描述
Swagger UI 是一個受歡迎的開源工具,可幫助用戶在沒有任何實現邏輯的情況下可視化API資源并與之交互。
Swagger-UI中存在跨站腳本漏洞,雖然該漏洞已在2020年12月被修復,但截止2022年5月16日,研究人員仍然可以在Paypal、Atlassian、Microsoft、GitLab、Yahoo等網站中發現漏洞的實例,目前此漏洞的PoC已公開,攻擊者可以利用此漏洞竊取用戶的 CSRF token并接管受害者的帳戶,建議使用受影響版本 Swagger UI的客戶及時采取措施。
Swagger-UI 跨站腳本漏洞 漏洞編號 暫無 漏洞類型 跨站腳本漏洞 漏洞等級 中危 公開狀態 存在 在野利用 存在 漏洞描述 由于Swagger UI中使用了過時的庫DOMpurify,導致了由查詢參數控制的DOM XSS漏洞,該漏洞允許攻擊者在頁面上注入任何屬性的HTML元素(腳本標簽除外)。 |
0x03
漏洞等級
中危
0x04
影響版本
3.14.1<= Swagger UI < 3.38.0
0x05
修復建議
目前此漏洞 3.38.0 已經修復,建議受影響用戶及時升級更新Swagger UI到最新版本。
下載鏈接:
https://github.com/swagger-api/swagger-ui/releases
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
VSole
網絡安全專家