GHSA-4r9g-w48q-8jwm

Опубликовано: 26 окт. 2022

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

HyperDown vulnerable to Cross-site Scripting

HyperDown is a markdown parser written for the Chinese website SegmentFault. Improper validation of the href attribute allows for Cross-site Scripting. At publication there are no patched versions, and no known workarounds.

Ссылки

Пакеты

Наименование

joyqi/hyper-down

composer

Затронутые версииВерсия исправления

<= 2.4.27

Отсутствует

EPSS

Процентиль: 46%

0.00234

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2022-25849

Дефекты

CWE-79

Связанные уязвимости

CVE-2022-25849

CVSS3: 5.4

nvd

больше 3 лет назад

The package joyqi/hyper-down from 0.0.0 are vulnerable to Cross-site Scripting (XSS) because the module of parse markdown does not filter the href attribute very well.

EPSS

Процентиль: 46%

0.00234

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2022-25849

Дефекты

CWE-79