CVE-2022-23647 in Prism
Résumé
par VulDB • 27/05/2026
Prism est une bibliothèque de coloration syntaxique. À partir de la version 1.14.0 et jusqu'à la version 1.27.0 (exclue), le plugin de ligne de commande de Prism peut être utilisé par des attaquants pour réaliser une attaque de type cross-site scripting (XSS). Le plugin de ligne de commande n'échappait pas correctement sa sortie, ce qui entraînait l'insertion du texte d'entrée dans le DOM en tant que code HTML. L'utilisation côté serveur de Prism n'est pas affectée. Les sites web qui n'utilisent pas le plugin Command Line ne sont pas non plus affectés. Ce bug a été corrigé dans la version v1.27.0. En attendant, comme solution de contournement, n'utilisez pas le plugin de ligne de commande avec des entrées non fiables, ou nettoyez tous les blocs de code (en supprimant tout texte de code HTML) dans tous les blocs de code qui utilisent le plugin de ligne de commande.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.