中国站

Mermaid 注入漏洞

CNNVD-ID编号 CNNVD-202206-2737 CVE编号 CVE-2022-31108
发布时间 2022-06-28 更新时间 2022-06-29
漏洞类型 注入 漏洞来源 N/A
危险等级 N/A 威胁类型 N/A
厂商 N/A

漏洞介绍

Mermaid是一个应用软件。使用文本和代码创建图表和可视化。 Mermaid 9.1.3之前版本存在注入漏洞,该漏洞源于只要有实际匹配,浏览器就会发出一个 http 请求,以 load 一个背景图像,让攻击者知道该字符的值是什么,攻击者利用该漏洞能够将任意 CSS 注入到生成的图形中,从而允许他们更改生成图形之外的元素样式,并可能通过使用特制的“CSS”选择器泄露敏感信息。

漏洞补丁

目前厂商已发布升级了Mermaid 注入漏洞的补丁,Mermaid 注入漏洞的补丁获取链接: https://github.com/mermaid-js/mermaid/security/advisories/GHSA-x3vm-38hw-55wf

参考网址

受影响实体

暂无

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间