VDB-223426 · CVE-2023-28426 · GHSA-xrqq-wqh4-5hg2

savg-sanitizer 迄 0.15.4 SVG クロスサイトスクリプティング

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
4.7	$0-$5k	0.00

要約情報

脆弱性が問題があるとして分類され、savg-sanitizer 迄 0.15.4で発見されました。対象となるのは不明な関数コンポーネントSVG Handlerのです。引数の操作が、クロスサイトスクリプティングをもたらします。この脆弱性はCVE-2023-28426として取引されています。攻撃はリモートで開始される可能性が高いです。影響コンポーネントのアップグレードを推奨します。

脆弱性が問題があるとして分類され、savg-sanitizer 迄 0.15.4で発見されました。対象となるのは不明な関数コンポーネントSVG Handlerのです。引数の操作が、クロスサイトスクリプティングをもたらします。この脆弱性に対応するCWEの定義は CWE-79 です。この脆弱性は 2023年03月20日に公開されました、GHSA-xrqq-wqh4-5hg2として。アドバイザリーは github.com で共有されています。

この脆弱性はCVE-2023-28426として取引されています。 CVEのアサインは2023年03月15日に実施されました。攻撃はリモートで開始される可能性が高いです。技術詳細は存在しません。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトは、攻撃手法を T1059.007 と定義しています。

未定義として設定されています。 0-dayとして、アンダーグラウンドでの推定価格は$0-$5k程度でした。

バージョン0.16.0にアップグレードすることで、この問題に対処できます。パッチ名は cce18bc237c05c6e093e9672db7926788da9b322 です。バグ修正はgithub.comでダウンロード可能です。影響コンポーネントのアップグレードを推奨します。