Описание
vditor Vulnerable to Cross-site Scripting in SVG events
vditor does not filter user input in SVG events, leading to XSS
PoC
</a>
<svg><animate onbegin=alert(11) attributeName=x dur=1s>
Пакеты
Наименование
vditor
npm
Затронутые версииВерсия исправления
< 3.8.11
3.8.11
Связанные уязвимости
CVSS3: 5.4
nvd
около 4 лет назад
Cross-site Scripting (XSS) - Stored in GitHub repository vanessa219/vditor prior to 1.0.34.