CVE-2023-3691
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Wykryto podatność w layui do wersji 2.8.0-rc.16, która dotyczy nieznanej części komponentu HTML Attribute Handler. Manipulacja argumentem title prowadzi do ataku typu cross-site scripting.
Ocena ryzyka
Atakujący może zdalnie wykorzystać tę podatność, co może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.
Rekomendacja
Zaleca się aktualizację do wersji 2.8.0, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
A vulnerability, which was classified as problematic, was found in layui up to v2.8.0-rc.16. This affects an unknown part of the component HTML Attribute Handler. The manipulation of the argument title leads to cross site scripting. It is possible to initiate the attack remotely. Upgrading to version 2.8.0 is able to address this issue. It is recommended to upgrade the affected component. The identifier VDB-234237 was assigned to this vulnerability.

