平台
other
组件
organizr
修复版本
2.1.1810
CVE-2022-1345 是一个存储型跨站脚本 (XSS) 漏洞,影响到 Organizr 的版本低于或等于 2.1.1810。攻击者可以利用此漏洞通过上传恶意的 .svg 文件,在受害者的浏览器中执行恶意脚本。该漏洞的严重程度被评定为 CRITICAL,可能导致会话劫持、敏感信息泄露等严重后果。建议用户尽快升级至 2.1.1810 版本以修复此问题。
该 XSS 漏洞允许攻击者在受害用户的浏览器中注入和执行任意 JavaScript 代码。攻击者可以利用此漏洞窃取用户的会话 Cookie,从而冒充用户执行各种操作,例如修改数据、访问敏感信息等。此外,攻击者还可以利用此漏洞将用户重定向到恶意网站,或者在用户浏览器中显示虚假信息,从而进行欺诈活动。由于该漏洞是存储型 XSS,攻击者无需与受害者直接交互即可触发漏洞,只需将恶意 .svg 文件上传到 Organizr 即可,因此潜在影响范围非常广泛。
CVE-2022-1345 已于 2022 年 4 月 13 日公开披露。目前尚未发现公开的利用代码,但由于该漏洞的严重性和易利用性,预计未来可能会出现利用代码。建议用户密切关注安全社区的动态,并及时采取相应的安全措施。该漏洞被归类为高危漏洞,需要尽快修复。
Organizations and individuals utilizing Organizr in their workflows, particularly those who rely on the application for data management or collaboration, are at risk. This includes developers, project managers, and anyone who interacts with the GitHub repository. Shared hosting environments where multiple users have upload privileges are particularly vulnerable.
• other / generic web:
curl -I 'https://your-organizr-instance/path/to/uploaded_file.svg' | grep -i 'content-security-policy'• generic web:
grep -r '<script>' /var/log/apache2/access.log• generic web:
grep -r '<script>' /var/log/nginx/error.logdisclosure
patch
漏洞利用状态
EPSS
0.33% (56% 百分位)
CVSS 向量
修复此漏洞的最佳方法是立即升级到 Organizr 2.1.1810 或更高版本。如果无法立即升级,可以尝试以下临时缓解措施:限制允许上传的文件类型,只允许上传必要的图像格式,并对所有上传的文件进行严格的验证和过滤,以防止恶意代码的注入。此外,可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意的 SVG 文件上传请求。升级后,请确认新版本已正确安装并配置,并测试其功能是否正常。
将 Organizr 更新到 2.1.1810 或更高版本。此版本包含针对 .svg 文件上传存储型 XSS 漏洞的修复。更新将防止在用户浏览器中执行恶意脚本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2022-1345 是一个存储型 XSS 漏洞,允许攻击者通过上传恶意的 .svg 文件在 Organizr ≤2.1.1810 中执行恶意脚本。
如果您正在使用 Organizr 的版本低于或等于 2.1.1810,则您可能会受到此漏洞的影响。
建议立即升级到 Organizr 2.1.1810 或更高版本。
目前尚未发现公开的利用代码,但由于该漏洞的严重性和易利用性,预计未来可能会出现利用代码。
请访问 Organizr 的官方网站或 GitHub 仓库,查找有关 CVE-2022-1345 的安全公告。