CVE-2021-25987

Опубликовано: 30 нояб. 2021

Источник: nvd

CVSS3: 5

CVSS3: 4.6

CVSS2: 1.9

EPSS Низкий

Описание

Hexo versions 0.0.1 to 5.4.0 are vulnerable against stored XSS. The post “body” and “tags” don’t sanitize malicious javascript during web page generation. Local unprivileged attacker can inject arbitrary code.

Ссылки

https://github.com/hexojs/hexo/commit/5170df2d3fa9c69e855c4b7c2b084ebfd92d5200
Patch
Third Party Advisory
https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25987
Third Party Advisory
https://github.com/hexojs/hexo/commit/5170df2d3fa9c69e855c4b7c2b084ebfd92d5200
Patch
Third Party Advisory
https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25987
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:hexo:hexo:*:*:*:*:*:node.js:*:*

Версия от 0.0.1 (включая) до 5.4.0 (включая)

EPSS

Процентиль: 26%

0.00091

Низкий

5 Medium

CVSS3

4.6 Medium

CVSS3

1.9 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-q54r-r9pr-w7qv

CVSS3: 4.6

github

около 4 лет назад

Hexo Vulnerable to XSS

EPSS

Процентиль: 26%

0.00091

Низкий

5 Medium

CVSS3

4.6 Medium

CVSS3

1.9 Low

CVSS2

Дефекты

CWE-79