CVE-2022-25869

跨站脚本
影响
AngularJS
<=1.8.3
AngularJS
未找到项目。
感叹号圆圈图标
补丁可用
HeroDevs 提供的 Never-Ending Support (NES) 版本已修复此漏洞。

复制步骤

此跨站脚本 (XSS) 漏洞存在于 AngularJS 的所有公开版本中。它只存在于 Internet Explorer 浏览器中,因为该浏览器在处理文本区域时存在页面缓存错误。恶意行为者可以插入浏览器会执行的危险代码,从而访问数据或脚本功能(攻击者欺骗应用程序或网站接受请求,就好像请求来自可信来源一样)。StackBlitz 上提供了演示此漏洞的概念验证。

解决问题

在使用所有公开的 AngularJS 版本时,Internet Explorer 浏览器用户都是这一潜在漏洞的载体。开发人员可以修改代码(见下文)以防止此类攻击,但仍应升级到已修复的版本库。

学习与预防

In general, XSS exploits are best avoided by escaping content that isn’t from a trusted source. Escaping can be done by libraries that specialize in this function. Using HTML for an example, they will take a < and >  code them as &lt; and &gt;.  Performing this transformation prevents code from being executed in locations where it can cause harm.

结论

1.9.0 版发布后,HeroDevs 客户已收到立即升级的通知。如果您希望获得 HeroDevs 永无止境的支持服务,请立即联系我们的销售团队

资源

NIST 2022-25869条目

漏洞详情
身份证
CVE-2022-25869
受影响的项目
AngularJS
受影响的版本
<=1.8.3
出版日期
2022 年 7 月 15 日
≈ 固定日期
2022 年 5 月 1 日
固定在
严重性
中型
类别
跨站脚本