【高危】MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318)
原文中文,约1300字,阅读约需3分钟。发表于: 。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。MarkText 0.17.1及之前版本中的 pasteCtrl 类未对用户可控的 HTML...
MarkText是一款热门的开源Markdown编辑器,存在DOM型XSS漏洞。攻击者可以通过粘贴恶意HTML代码来远程执行任意代码。建议避免将不受信任的HTML代码粘贴到MarkText编辑器中,或对HTML的a标签进行过滤。