CVE-2014-0046 描述了 Ember.js 中一个跨站脚本攻击 (XSS) 漏洞。该漏洞允许远程攻击者通过 link-to 辅助函数中的 title 属性注入任意的 Web 脚本或 HTML。受影响的版本包括 Ember.js 1.2.x 在 1.2.2 之前的版本、1.3.x 在 1.3.2 之前的版本以及 1.4.x 在 1.4.0-beta.6 之前的版本。已发布补丁,建议升级至 1.2.2 或更高版本。
攻击者可以利用此 XSS 漏洞在用户的浏览器中执行任意 JavaScript 代码。这可能导致敏感信息泄露,例如 Cookie 和会话令牌,从而允许攻击者冒充用户执行操作。此外,攻击者还可以劫持用户会话,重定向用户到恶意网站,或篡改网站内容。由于该漏洞存在于 link-to 辅助函数中,攻击者可以通过构造恶意的 HTML 代码来触发该漏洞,例如在链接的 title 属性中注入恶意脚本。
此 CVE 已公开披露,且存在公开的 PoC。目前没有关于此漏洞被大规模利用的报告,但由于其易于利用,建议尽快修复。该漏洞未被添加到 CISA KEV 目录。
漏洞利用状态
EPSS
0.43% (63% 百分位)
最有效的缓解措施是升级到 Ember.js 1.2.2 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以尝试使用内容安全策略 (CSP) 来限制浏览器可以执行的脚本来源。此外,可以对用户输入进行严格的验证和过滤,以防止恶意脚本注入。在升级后,请确认 link-to 辅助函数不再允许通过 title 属性注入恶意脚本。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2014-0046 是 Ember.js 中一个跨站脚本攻击 (XSS) 漏洞,允许攻击者通过 link-to 辅助函数的 title 属性注入恶意脚本。
如果您正在使用 Ember.js 1.2.x < 1.2.2, 1.3.x < 1.3.2, 或 1.4.x < 1.4.0-beta.6,则可能受到影响。
升级到 Ember.js 1.2.2 或更高版本以修复此漏洞。
虽然目前没有大规模利用的报告,但由于其易于利用,建议尽快修复。
请参考 Ember.js 官方安全公告或 GitHub 仓库。
上传你的 Gemfile.lock 文件,立即知道是否受影响。