Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-qpqh-46qj-vwcw

Опубликовано: 18 мая 2021
Источник: github
Github: Прошло ревью
CVSS3: 6.1

Описание

Cross-site Scripting in docsify

docsify prior to 4.11.4 is susceptible to Cross-site Scripting (XSS). Docsify.js uses fragment identifiers (parameters after # sign) to load resources from server-side .md files. Due to lack of validation here, it is possible to provide external URLs after the /#/ (domain.com/#//attacker.com) and render arbitrary JavaScript/HTML inside docsify page.

Ссылки

Пакеты

Наименование

docsify

npm
Затронутые версииВерсия исправления

< 4.11.4

4.11.4

EPSS

Процентиль: 87%
0.03162
Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2020-7680

Дефекты

CWE-79

Связанные уязвимости

nvd логотип

CVE-2020-7680

CVSS3: 6.1
nvd
больше 5 лет назад

docsify prior to 4.11.4 is susceptible to Cross-site Scripting (XSS). Docsify.js uses fragment identifiers (parameters after # sign) to load resources from server-side .md files. Due to lack of validation here, it is possible to provide external URLs after the /#/ (domain.com/#//attacker.com) and render arbitrary JavaScript/HTML inside docsify page.

EPSS

Процентиль: 87%
0.03162
Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2020-7680

Дефекты

CWE-79