CVE-2022-23647 in Prisminformation

Résumé

par VulDB • 27/05/2026

Prism est une bibliothèque de coloration syntaxique. À partir de la version 1.14.0 et jusqu'à la version 1.27.0 (exclue), le plugin de ligne de commande de Prism peut être utilisé par des attaquants pour réaliser une attaque de type cross-site scripting (XSS). Le plugin de ligne de commande n'échappait pas correctement sa sortie, ce qui entraînait l'insertion du texte d'entrée dans le DOM en tant que code HTML. L'utilisation côté serveur de Prism n'est pas affectée. Les sites web qui n'utilisent pas le plugin Command Line ne sont pas non plus affectés. Ce bug a été corrigé dans la version v1.27.0. En attendant, comme solution de contournement, n'utilisez pas le plugin de ligne de commande avec des entrées non fiables, ou nettoyez tous les blocs de code (en supprimant tout texte de code HTML) dans tous les blocs de code qui utilisent le plugin de ligne de commande.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Réserver

19/01/2022

Divulgation

18/02/2022

Modérer

accepté

Entrée

VDB-193373

CPE

prêt

EPSS

0.01479

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!