CVE-2024-53386

Опубликовано: 03 мар. 2025

Источник: nvd

CVSS3: 4.9

CVSS3: 6.1

EPSS Низкий

Описание

Stage.js through 0.8.10 allows DOM Clobbering (with resultant XSS for untrusted input that contains HTML but does not directly contain JavaScript), because document.currentScript lookup can be shadowed by attacker-injected HTML elements.

Ссылки

https://gist.github.com/jackfromeast/31d56f1ad17673aabb6ab541e65a5534
Exploit
Third Party Advisory
https://github.com/piqnt/stage.js/blob/919f6e94b14242f6e6994141a9e1188439d306d5/lib/core.js#L158-L159
Product
https://gist.github.com/jackfromeast/31d56f1ad17673aabb6ab541e65a5534
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:piqnt:stage.js:*:*:*:*:*:*:*:*

Версия до 0.8.10 (включая)

EPSS

Процентиль: 24%

0.00083

Низкий

4.9 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-94

CWE-79

Связанные уязвимости

GHSA-fp3m-g5rc-4c28

CVSS3: 4.9

github

11 месяцев назад

Stage.js DOM Clobbering vulnerabilty

EPSS

Процентиль: 24%

0.00083

Низкий

4.9 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-94

CWE-79