平台
java
组件
org.mapfish.print:print-lib
修复版本
3.24.1
3.24
CVE-2020-15231 描述了 org.mapfish.print:print-lib 库中的一个跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者利用 JSONP 支持执行恶意脚本,从而可能导致敏感信息泄露或会话劫持。受影响的版本包括 3.9.0 及更早版本。建议升级至 3.24 或更高版本以解决此问题。
该 XSS 漏洞允许攻击者通过利用 JSONP 支持注入恶意脚本到受影响的应用程序中。一旦脚本成功执行,攻击者可以窃取用户的 Cookie、会话令牌或其他敏感信息。此外,攻击者还可以劫持用户的会话,冒充用户执行未经授权的操作。由于漏洞的严重性,攻击者可能能够完全控制受影响的应用程序,并对其进行恶意利用,例如篡改数据或破坏服务。该漏洞的潜在影响范围广泛,可能对组织造成重大损失。
目前没有公开的漏洞利用程序 (PoC) 被广泛报道,但该漏洞的严重性表明它可能成为攻击者的目标。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议密切关注安全社区的动态,并及时采取措施来保护您的系统。
Organizations utilizing mapfish-print in their applications, particularly those running versions 3.9.0 or earlier, are at risk. This includes deployments where user-supplied data is processed and displayed without proper sanitization, and those relying on JSONP for data exchange.
disclosure
漏洞利用状态
EPSS
0.31% (54% 百分位)
CVSS 向量
解决 CVE-2020-15231 的主要方法是升级到 3.24 或更高版本的 org.mapfish.print:print-lib 库。在升级之前,建议备份应用程序,以防升级过程中出现问题。由于目前没有已知的规避措施,因此升级是唯一可靠的解决方案。升级后,请验证漏洞是否已成功修复。可以通过尝试触发 XSS 攻击来验证,如果攻击无法成功执行,则表明漏洞已修复。
将 mapfish-print 库升级到版本 3.24 或更高版本。此版本包含 Cross-site scripting 漏洞的修复。请参阅版本说明以获取有关升级的更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-15231 是 org.mapfish.print:print-lib 库中的一个跨站脚本攻击 (XSS) 漏洞,允许攻击者通过 JSONP 支持注入恶意脚本。
如果您的应用程序使用 org.mapfish.print:print-lib 库的版本低于 3.24,则您可能受到影响。
升级到 org.mapfish.print:print-lib 3.24 或更高版本以修复此漏洞。
虽然目前没有公开的漏洞利用程序被广泛报道,但由于漏洞的严重性,它可能成为攻击者的目标。
请参阅 GitHub 上的 pull request:https://github.com/mapfish/mapfish-print/pull/1397
上传你的 pom.xml 文件,立即知道是否受影响。